Lei Geral de Proteção de Dados

Prévia do material em texto

TECNOLOGIA DA 
INFORMAÇÃO
Lei n. 13.709/2018 – Lei Geral de 
Proteção de Dados – LGPD
Livro Eletrônico
Presidente: Gabriel Granjeiro
Vice-Presidente: Rodrigo Calado
Diretor Pedagógico: Erico Teixeira
Diretora de Produção Educacional: Vivian Higashi
Gerência de Produção de Conteúdo: Magno Coimbra
Coordenadora Pedagógica: Élica Lopes
Todo o material desta apostila (incluídos textos e imagens) está protegido por direitos autorais 
do Gran. Será proibida toda forma de plágio, cópia, reprodução ou qualquer outra forma de 
uso, não autorizada expressamente, seja ela onerosa ou não, sujeitando-se o transgressor às 
penalidades previstas civil e criminalmente.
CÓDIGO:
230803557853
JÓSIS ALVES
Coordenador-científico dos cursos preparatórios para TI do Gran Cursos Online. 
Analista judiciário - área Tecnologia da Informação no Supremo Tribunal Federal 
(STF). Professor no Centro Universitário ESTÁCIO. Graduado em Informática pela 
Universidade do Grande Rio (Unigranrio); pós-graduado em Gestão da Segurança 
da Informação e Comunicações pela Universidade de Brasília (UnB); mestrando em 
Computação Aplicada pela UnB, área de concentração Segurança Cibernética (PPEE-
UnB). Vasta experiência na área de ciência da computação, sistemas operacionais, 
engenharia e infraestrutura de redes com ênfase em Segurança da Informação. Além 
de fazer parte do rol de instrutores internos do Supremo Tribunal Federal.
 
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
3 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
SUMÁRIO
Apresentação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Entendendo a LGPD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Histórico da Proteção de Dados e Contexto Global . . . . . . . . . . . . . . . . . . . . . . . . . 5
Desenvolvimento da LGPD no Brasil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Fundamentos da LGPD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Aplicabilidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Definições e Conceitos Básicos: Lei Geral de Proteção de Dados (LGPD) . . . . . . . . 12
Princípios da LGPD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Tratamento de Dados Pessoais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Do Tratamento de Dados Pessoais Sensíveis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Do Tratamento de Dados Pessoais de Crianças e de Adolescentes . . . . . . . . . . . . . 35
Do Término do Tratamento de Dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Dos Direitos do Titular . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Do Tratamento de Dados Pessoais pelo Poder Público . . . . . . . . . . . . . . . . . . . . . . . 44
Da Responsabilidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Padrões e Boas Práticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Da Transferência Internacional de Dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Dos Agentes de Tratamento de Dados Pessoais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Do Encarregado pelo Tratamento de Dados Pessoais . . . . . . . . . . . . . . . . . . . . . . . . 62
Da Responsabilidade e do Ressarcimento de Danos . . . . . . . . . . . . . . . . . . . . . . . . . 65
Da Segurança e das Boas Práticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Das Boas Práticas e da Governança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
Da Fiscalização . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Da Autoridade Nacional de Proteção De Dados (ANPD) e do Conselho Nacional 
de Proteção de Dados Pessoais e da Privacidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade . . . . . . . . . 84
resumo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
mapas mentais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
 
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
4 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
aPreSenTaçãoaPreSenTação
Olá, querido(a) aluno(a)!
Neste curso vamos conhecer a Lei Geral de Proteção de Dados (LGPD), assunto recorrente 
em concursos públicos na atualidade.
A Lei Geral de Proteção de Dados (LGPD), Lei n. 13.709, sancionada em agosto de 
2018 e em vigor desde setembro de 2020, surge como um marco legal para a proteção 
de informações pessoais no Brasil. Diante da crescente necessidade de regulamentar o 
tratamento de dados no mundo digital, este curso tem o objetivo de oferecer uma visão 
completa e abrangente da LGPD, seus princípios, obrigações e impactos. Além disso, as 
bancas têm cobrado este conteúdo em diversas provas de concursos públicos.
 
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
5 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
LEI N. 13.709/2018 – LEI GERAL DE PROTEÇÃO DE LEI N. 13.709/2018 – LEI GERAL DE PROTEÇÃO DE 
DADOS – LGPDDADOS – LGPD
enTenDenDo a LGPDenTenDenDo a LGPD
O desenvolvimento da Lei Geral de Proteção de Dados (LGPD) no Brasil é um reflexo das 
preocupações globais com a privacidade e segurança dos dados pessoais. A medida se alinha 
com esforços internacionais e, particularmente, com o Regulamento Geral de Proteção de 
Dados (GDPR) da União Europeia, servindo como um marco para a América Latina. A seguir, 
exploraremos o histórico e o contexto global que conduziram à criação da LGPD.
HiSTÓrico Da ProTeção De DaDoS e conTeXTo GLoBaLHiSTÓrico Da ProTeção De DaDoS e conTeXTo GLoBaL
Décadas Iniciais
A proteção de dados ganhou importância durante as últimas décadas do século XX, 
com o aumento do poder computacional e a digitalização de informações. Países como 
Alemanha e França já tinham leis de proteção de dados nos anos 1970.
Surgimento do GDPR
A União Europeia, reconhecendo a necessidade de uma abordagem coesa e robusta, 
promulgou o GDPR em 2018. Este regulamento serviu como um modelo global para proteção 
de dados, estabelecendo princípios de transparência, consentimento informado, direito 
de acesso, entre outros.
DeSenVoLVimenTo Da LGPD no BraSiLDeSenVoLVimenTo Da LGPD no BraSiL
InfluênciaInternacional
A criação da LGPD foi fortemente influenciada pelo GDPR e por outras regulamentações 
globais. A lei brasileira, porém, considerou peculiaridades e desafios locais no 
tratamento de dados.
Processo Legislativo
A LGPD, Lei n. 13.709, foi sancionada em agosto de 2018 após um intenso debate 
legislativo. A necessidade de proteger os direitos dos indivíduos sobre seus dados pessoais 
e de fornecer diretrizes claras para empresas e governos foram os principais motivadores.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
6 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
Vigência e Adaptação
A lei entrou em vigor em setembro de 2020, após um período de adaptação. Neste 
período, organizações no Brasil tiveram de revisar suas políticas e processos para garantir 
a conformidade.
Relação com o GDPR
A LGPD e o GDPR têm várias semelhanças, tais como:
Princípios Fundamentais: ambas estabelecem princípios semelhantes de transparência, 
consentimento, e direito de acesso.
Direitos dos Titulares: tanto a LGPD quanto o GDPR ampliam os direitos dos indivíduos 
sobre seus dados.
Obrigações das Organizações: as leis exigem que organizações implementem medidas 
de segurança e políticas de conformidade.
Contudo, também existem diferenças, quais sejam:
Autoridades Reguladoras: a estrutura regulatória varia entre os dois regulamentos.
Sanções: as penalidades podem diferir em termos de valor e aplicação.
A LGPD representa um marco significativo na legislação brasileira sobre proteção de 
dados, posicionando o país no contexto global de esforços para garantir a privacidade e a 
segurança dos dados pessoais. Com raízes nas melhores práticas internacionais, incluindo 
o GDPR, a LGPD reflete uma abordagem ponderada que equilibra os direitos dos indivíduos 
com as necessidades de negócios e governos. Este cenário sublinha a importância de 
compreender a lei, não apenas no contexto nacional, mas também como parte de uma 
tendência global em direção à regulamentação mais rigorosa da privacidade dos dados.
ARTIGO 1º – ESCOPO E OBJETIVO
Art. 1º. Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por 
pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os 
direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade 
da pessoa natural.
O Artigo 1º da Lei Geral de Proteção de Dados (LGPD) estabelece o escopo e o objetivo 
fundamental da lei, servindo como introdução e diretriz central para o restante da legislação. 
Vamos examinar cada parte desse artigo e seu significado:
Tratamento de Dados Pessoais
O termo “tratamento” é abrangente e inclui todas as operações realizadas com dados 
pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, 
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
7 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, 
entre outros.
Meios Digitais e Não Digitais
A lei não se aplica apenas aos dados processados digitalmente; ela também cobre dados 
tratados fora dos meios digitais. Isso significa que organizações e indivíduos que lidam com 
informações em papel, por exemplo, também estão sujeitos às regras da LGPD.
Pessoa Natural e Pessoa Jurídica
O artigo estabelece que tanto pessoas físicas (naturais) quanto jurídicas (empresas, 
entidades governamentais etc.) estão sujeitas à lei, independentemente de serem entidades 
públicas ou privadas.
Proteção dos Direitos Fundamentais
A finalidade central da LGPD é proteger direitos fundamentais, enfatizando particularmente 
a liberdade e a privacidade dos indivíduos. A referência ao “livre desenvolvimento da 
personalidade da pessoa natural” reflete um compromisso com a dignidade humana e a 
autonomia individual, o que ressoa com princípios de direitos humanos internacionalmente 
reconhecidos.
Interesse Nacional e Observância pelos Entes Federativos
O parágrafo único reforça que as normas da LGPD são de interesse nacional e, portanto, 
devem ser observadas em todos os níveis de governo no Brasil, incluindo União, Estados, 
Distrito Federal e Municípios. Isso garante uma abordagem unificada e consistente em todo 
o país na proteção de dados pessoais.
O Artigo 1º da LGPD é uma declaração abrangente e fundamental sobre o que a lei 
busca alcançar. Ele estabelece a amplitude da lei, incluindo quem está sujeito a ela e em 
quais circunstâncias, e identifica os valores e direitos que a lei pretende proteger. Como tal, 
ele serve como uma bússola orientadora para a interpretação e aplicação da lei como um 
todo, estabelecendo um compromisso firme com a proteção da privacidade e da dignidade 
humana na era digital.
fUnDamenToS Da LGPDfUnDamenToS Da LGPD
Os fundamentos da Lei Geral de Proteção de Dados (LGPD) constituem os princípios 
essenciais que guiam sua aplicação e interpretação. Eles são o alicerce da lei e representam 
os valores e objetivos que a legislação busca alcançar. Seguem os fundamentos da LGPD, 
conforme delineados no Artigo 2º da Lei:
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
8 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
I – Respeito à Privacidade
Salvaguarda da intimidade, vida privada, honra e imagem das pessoas. É o reconhecimento 
de que os indivíduos têm o direito de controlar suas próprias informações pessoais.
II – Autodeterminação Informativa
Direito de controle dos cidadãos sobre suas informações pessoais, permitindo que eles 
decidam como e para que fins suas informações podem ser usadas.
III – Liberdade de Expressão, de Informação, de Comunicação e de Opinião
Garantia de que a proteção de dados não interferirá nos direitos de liberdade de 
expressão, informação e opinião.
IV – Inviolabilidade da Intimidade, da Honra e da Imagem
Proteção contra o uso indevido de informações que possam afetar a reputação ou a 
vida privada dos indivíduos.
V – Desenvolvimento Econômico e Tecnológico e a Inovação
Fomento à inovação e ao crescimento econômico e tecnológico, garantindo que a 
proteção de dados pessoais não seja um obstáculo ao progresso.
VI – Livre Iniciativa, Livre Concorrência e Defesa do Consumidor
Salvaguarda da competição leal no mercado e proteção dos direitos dos consumidores, 
garantindo que as empresas tratem os dados pessoais de maneira justa e transparente.
VII – Direitos Humanos, Livre Desenvolvimento da Personalidade, Dignidade e Exercício 
da Cidadania pelas Pessoas Naturais
Reconhecimento e promoção dos direitos humanos, permitindo o desenvolvimento 
individual e coletivo e a participação ativa na sociedade, respeitando a dignidade da 
pessoa humana.
Esses fundamentos guiam todos os aspectos da LGPD, do tratamento de dados pessoais 
à sua fiscalização. Eles refletem um equilíbrio cuidadoso entre proteger os direitos dos 
indivíduos sobre seus dados pessoais e promover a inovação, o crescimento econômico e 
a liberdade de expressão.A compreensão de tais fundamentos é crucial para a aplicação 
eficaz da lei e para a criação de práticas de gerenciamento de dados que estejam em 
conformidade com os valores e objetivos da LGPD.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
9 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
001. 001. (FGV/EPE/ANALISTA DE GESTÃO CORPORATIVA-RECURSOS HUMANOS/2022) A Lei n. 
13.709/18, também conhecida como Lei Geral de Proteção de Dados (LGPD), foi inspirada 
na General Data Protection Regulation (GDPR), aprovada na União Europeia no mesmo ano, 
ambas visando reforçar pontos sobre a proteção de dados pessoais, em função principalmente 
das mudanças promovidas pelo uso da Internet.
No que concerne à LGPD, assinale a afirmativa que apresenta um de seus fundamentos.
a) Autodeterminação informativa.
b) Preservação da integridade física.
c) Respeito à individualidade.
d) Repúdio ao discurso de ódio.
e) Solidariedade comunitária.
A alternativa correta é a “Autodeterminação informativa”. Esse princípio significa que o 
titular dos dados pessoais tem o direito de controlar suas informações e decidir como elas 
serão utilizadas, armazenadas e compartilhadas. A LGPD assegura aos indivíduos o poder de 
tomar decisões sobre o tratamento de seus dados pessoais, promovendo assim a proteção 
da privacidade e dos direitos individuais no contexto digital.
Letra a.
002. 002. (CESPE-CEBRASPE/BANRISUL/GESTÃO DE TECNOLOGIA DA INFORMAÇÃO/2022) Tendo 
como referência o disposto na Lei n. 13.709/2018 (Lei Geral de Proteção de Dados Pessoais 
— LGPD), julgue o seguinte item.
A disciplina da proteção de dados pessoais tem como fundamentos, entre outros, o 
desenvolvimento econômico e tecnológico e a inovação.
De acordo com a Lei Geral de Proteção de Dados Pessoais (LGPD) no Brasil, a proteção 
de dados pessoais tem como um de seus fundamentos o desenvolvimento econômico e 
tecnológico, bem como a inovação. A LGPD reconhece a importância de promover a proteção 
da privacidade dos indivíduos enquanto equilibra isso com a necessidade de impulsionar 
o desenvolvimento tecnológico e econômico. Isso significa que a legislação procura criar 
um ambiente em que a inovação seja incentivada, mas sempre respeitando os direitos e a 
privacidade das pessoas em relação aos seus dados pessoais.
Certo.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
10 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
aPLicaBiLiDaDeaPLicaBiLiDaDe
Aplicação a Qualquer Operação de Tratamento
A LGPD se aplica a qualquer operação de tratamento de dados, realizada tanto por pessoa 
natural quanto jurídica, seja ela pública ou privada. Isso inclui todas as etapas e formas de 
processamento de dados pessoais, independentemente do meio utilizado.
Jurisdição Extraterritorial
A lei tem um alcance extraterritorial, o que significa que se aplica mesmo que a sede 
da empresa esteja em outro país ou os dados estejam localizados fora do Brasil, contanto 
que cumpram um dos critérios especificados nos incisos I a III. Esses critérios são:
Inciso I: O tratamento de dados é realizado no território brasileiro.
Inciso II: A atividade de tratamento visa à oferta ou ao fornecimento de bens ou serviços 
no Brasil ou envolve dados de indivíduos localizados no Brasil.
Inciso III: Os dados foram coletados no território brasileiro.
Isso significa que empresas estrangeiras que fazem negócios no Brasil ou que processam 
dados de indivíduos no Brasil estão sujeitas à LGPD.
Parágrafos §1º e §2º
§ 1º: Esclarece o que significa “coletados no território nacional”, definindo-os como os 
dados de indivíduos que estavam no Brasil no momento da coleta.
§ 2º: A referência ao inciso IV do caput do art. 4º é uma exceção à regra do inciso I. O art. 4º, 
inciso IV, trata de situações específicas em que a lei não se aplica, como no tratamento de 
dados para fins pessoais ou jornalísticos.
O Artigo 3º é crucial para entender a abrangência da LGPD, definindo claramente o 
alcance geográfico e a aplicabilidade da lei. Ao estabelecer critérios claros para a aplicação 
da lei, mesmo fora do território brasileiro, ele garante que as entidades que realizam 
atividades de tratamento de dados com conexão ao Brasil estejam em conformidade com 
as normas estabelecidas. Essa extensão da jurisdição ajuda a fortalecer a proteção de dados 
no contexto globalizado e a garantir que as empresas que interagem com consumidores 
brasileiros ou operam no Brasil respeitem os direitos de privacidade, independentemente 
de onde estejam localizadas.
Não é aplicável
O Artigo 4º da Lei Geral de Proteção de Dados (LGPD) do Brasil estabelece as exceções 
à lei, ou seja, as situações em que o tratamento de dados pessoais não está sujeito às 
disposições da LGPD. Vamos analisar essas exceções:
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
11 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
I – Fins Exclusivamente Particulares e Não Econômicos
Quando uma pessoa natural trata dados pessoais exclusivamente para fins pessoais 
e não comerciais, a LGPD não se aplica. Isso poderia incluir o gerenciamento de contatos 
pessoais ou fotos em um dispositivo privado.
II – Fins Exclusivamente Jornalísticos, Artísticos ou Acadêmicos
Essa exceção visa preservar a liberdade de expressão e de pesquisa. A LGPD não se aplica 
ao tratamento de dados pessoais realizado para fins jornalísticos, artísticos ou acadêmicos, 
embora certos artigos da LGPD ainda se apliquem no contexto acadêmico.
III – Segurança Pública, Defesa Nacional, Segurança do Estado e Repressão de 
Infrações Penais
Essa seção estabelece exceções para o tratamento de dados realizado por órgãos 
governamentais no exercício de suas funções, como policiamento e segurança nacional. O 
§1º enfatiza que essas atividades devem ser regidas por legislação específica e devem ser 
proporcionais e necessárias ao interesse público.
O § 2º proíbe o tratamento desses dados por entidades privadas, exceto em circunstâncias 
específicas e sob a supervisão do governo. Os §§ 3º e 4º estabelecem controles adicionais 
sobre essa exceção, incluindo a necessidade de opiniões técnicas, recomendações e limitações 
sobre o tratamento por entidades privadas.
IV – Dados Provenientes de Fora do Território Nacional
Essa exceção aplica-se a dados que vêm de fora do Brasil e não são comunicados, 
compartilhados ou transferidos internacionalmente com agentes de tratamento brasileiros. A 
exceção só se aplica se o país de origem proporcionar um grau adequado de proteção de dados.
O Artigo 4º é fundamental para entender os limites da LGPD, delineando as situações 
em que o tratamento de dados pessoais não está sujeito às regras da lei. Essas exceções 
buscam equilibrar a necessidade de proteger a privacidade dos indivíduos com outras 
considerações importantes, como a liberdade de expressão, a segurança pública e a soberania 
do Estado. Ao fazer isso, o artigo ajuda a garantir que a LGPD seja aplicada de maneira justa 
e proporcional, respeitando outros valorese interesses sociais importantes.
003. 003. (FCC/TRT 5ª REGIÃO-BA/TÉCNICO JUDICIÁRIO-TECNOLOGIA DA INFORMAÇÃO/2022) 
Conforme expressa previsão legal, NÃO se aplica a Lei n. 13.709/2018 (Lei Geral de Proteção 
de Dados Pessoais), no tocante ao tratamento de dados pessoais
a) que tenham sido coletados no território nacional.
b) realizado para fins, exclusivamente, jornalístico e artísticos.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
12 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
c) de indivíduos localizados no território nacional.
d) que tenha por objetivo a oferta ou o fornecimento de bens ou serviços no território 
nacional.
e) realizado por pessoa natural, ainda que para fins econômicos.
NÃO se aplica a Lei n. 13.709/2018 (Lei Geral de Proteção de Dados Pessoais), no tocante ao 
tratamento de dados pessoais realizado para fins, exclusivamente, jornalístico e artísticos.
Letra b.
DefiniçÕeS e conceiToS BÁSicoS: Lei GeraL De DefiniçÕeS e conceiToS BÁSicoS: Lei GeraL De 
PROTEÇÃO DE DADOS (LGPD)PROTEÇÃO DE DADOS (LGPD)
A LGPD introduziu uma série de termos e definições que são fundamentais para a 
compreensão e aplicação da lei. Abaixo, vamos analisar esses conceitos de forma 
esquematizada.
I – Dado Pessoal:
Informação de pessoa identificada ou identificável.
II – Dado Pessoal Sensível:
• Origem racial/étnica;
• Convicção religiosa;
• Opinião política;
• Filiação a sindicato/organização (religiosa, filosófica, política);
• Saúde ou vida sexual;
• Dado genético/biométrico vinculado a pessoa.
 Obs.: O rol é taxativo, ou seja, não devemos estender o entendimento sobre o que são 
dados pessoais sensíveis além dos apresentados na definição!
III – Dado Anonimizado:
Dado do titular sem possibilidade de identificação (usando meios técnicos).
IV – Banco de Dados:
Conjunto estruturado de dados pessoais.
Em suporte eletrônico ou físico.
Em um ou vários locais.
V – Titular:
Pessoa a quem se referem os dados tratados.
VI – Controlador:
Pessoa ou entidade decidindo sobre tratamento de dados.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
13 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
VII – Operador:
Pessoa ou entidade tratando dados em nome do controlador.
VIII – Encarregado:
Indicado para comunicar entre controlador, titulares e ANPD.
IX – Agentes de Tratamento:
Controlador e operador.
DICA
a dica aqui é realizar a analogia de que o controlador é o 
gerente da loja, e o operador é o vendedor que segue as 
diretrizes passadas pelo “gerente” (controlador).
X – Tratamento:
Operações com dados pessoais: coleta, produção, classificação, uso, acesso, 
armazenamento etc.
XI – Anonimização:
Técnica que torna dado impossível de associar a indivíduo.
XII – Consentimento:
Acordo do titular para tratar seus dados para propósito específico.
XIII – Bloqueio:
Suspensão temporária do tratamento de dados.
XIV – Eliminação:
Exclusão de dados do banco de dados.
XV – Transferência Internacional de Dados:
Envio de dados pessoais para fora do país ou a organismos internacionais.
XVI – Uso Compartilhado de Dados:
Comunicação e interconexão entre entidades públicas e/ou privadas.
XVII – Relatório de Impacto:
Descrição de processos que podem gerar riscos.
Medidas e mecanismos de mitigação.
XVIII – Órgão de Pesquisa:
Entidade focada em pesquisa.
Legalmente constituída no Brasil.
XIX – Autoridade Nacional:
Órgão fiscalizando o cumprimento da lei.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
14 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
004. 004. (FCC/TRT 4ª REGIÃO-RS/TÉCNICO JUDICIÁRIO-TECNOLOGIA DA INFORMAÇÃO /2022) 
Segundo dispõe a Lei Geral de Proteção de Dados Pessoais (LGPD), Lei n. 13.709/2018, o 
dado relativo a titular que não possa ser identificado, considerando a utilização de meios 
técnicos razoáveis e disponíveis na ocasião de seu tratamento, é denominado
a) inconsistente.
b) inexistente.
c) não classificável.
d) não qualificável.
e) anonimizado.
Conforme a Lei Geral de Proteção de Dados Pessoais (LGPD), o dado relativo a um titular 
que não pode ser identificado, mesmo com o uso de meios técnicos razoáveis e disponíveis 
na ocasião de seu tratamento, é denominado “anonimizado”. O processo de anonimização é 
importante para proteger a privacidade dos indivíduos, tornando os dados irreversivelmente 
não identificáveis, de modo que não possam mais ser vinculados a uma pessoa específica.
Letra e.
005. 005. (FCC/TRT 4ª REGIÃO-RS/ANALISTA JUDICIÁRIO-ARQUITETURA/2022)
Segundo a Lei Geral de Proteção de Dados Pessoais (LGPD), Lei n. 13.709/2018, o dado pessoal 
sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou 
a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida 
sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural, é denominado 
dado pessoal
a) social.
b) sensível.
c) intangível.
d) não qualificável.
e) não classificável.
Conforme a Lei Geral de Proteção de Dados Pessoais (LGPD), o tipo de dado pessoal 
mencionado na questão, que inclui informações sobre origem racial ou étnica, convicção 
religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico 
ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando 
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
15 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
vinculado a uma pessoa natural, é denominado “dado pessoal sensível.” A LGPD estabelece 
regras específicas para o tratamento desses dados sensíveis, visando a uma proteção ainda 
mais rigorosa da privacidade dos indivíduos.
Letra b.
PrincÍPioS Da LGPDPrincÍPioS Da LGPD
A Lei Geral de Proteção de Dados (LGPD) é orientada por uma série de princípios que 
delineiam como os dados pessoais devem ser tratados. Esses princípios são fundamentais 
para a interpretação da lei e orientam a aplicação prática da regulamentação. Vamos explorar 
cada um desses princípios, conforme definidos no Artigo 6º da LGPD, e fornecer exemplos 
de como eles podem ser aplicados na prática:
1. Finalidade
Realização do tratamento para propósitos legítimos, específicos, explícitos e informados 
ao titular.
EXEMPLO
Ao coletar dados para inscrição em uma newsletter, a empresa deve informar claramente 
que os dados serão usados apenas para esse propósito específico.
2. Adequação
Compatibilidade do tratamento com as finalidades informadas, de acordo com o 
contexto do tratamento.
Exemplo
Se um hospital coleta dados de saúde de um paciente, esses dados devem ser usados apenas 
para fins de tratamento médico, e não para campanhas de marketing.
3. NecessidadeLimitação do tratamento ao mínimo necessário para a realização de suas finalidades.
EXEMPLO
Uma loja online que solicita informações de cartão de crédito deve usar esses dados somente 
para processar a compra, sem armazená-los sem necessidade.
4. Livre Acesso
Garantia ao titular de consulta facilitada e gratuita sobre a forma e a duração do 
tratamento, bem como sobre a integralidade de seus dados pessoais.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
16 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
EXEMPLO
Um usuário de rede social deve poder acessar e visualizar todas as informações pessoais que 
a plataforma possui sobre ele.
5. Qualidade dos Dados
Garantia ao titular da exatidão, clareza, relevância e atualização dos dados.
EXEMPLO
Uma instituição financeira deve manter as informações de contato do cliente atualizadas 
para garantir que os comunicados cheguem ao destinatário correto.
6. Transparência
Informações claras e precisas sobre a realização do tratamento e os respectivos agentes 
de tratamento.
EXEMPLO
Um site que utiliza cookies deve informar aos visitantes como esses cookies são usados e por 
quem, de maneira transparente.
7. Segurança
Utilização de medidas técnicas e administrativas para proteger os dados pessoais.
EXEMPLO
Uma empresa implementa criptografia e autenticação de dois fatores para proteger os dados 
dos clientes armazenados em seus servidores.
8. Prevenção
Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de 
dados pessoais.
EXEMPLO
Uma clínica médica utiliza um sistema robusto de firewall para prevenir o acesso não autorizado 
a registros de pacientes.
9. Não Discriminação
Impossibilidade de realização do tratamento para fins discriminatórios, ilícitos ou abusivos.
EXEMPLO
Uma empresa de empréstimos não pode usar dados raciais ou étnicos para determinar a 
elegibilidade para um empréstimo.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
17 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
10. Responsabilização e Prestação de Contas
Demonstração, pelo agente, da adoção de medidas eficazes para o cumprimento das 
normas de proteção de dados.
EXEMPLO
Uma organização realiza auditorias regulares e documenta suas políticas e práticas de proteção 
de dados para demonstrar conformidade com a LGPD.
Esses princípios fornecem uma estrutura clara para as organizações que tratam dados 
pessoais, ajudando-as a operar de maneira responsável e transparente, em total conformidade 
com a lei. Ao alinhar suas práticas de gestão de dados com esses princípios, as empresas 
podem fortalecer a confiança dos titulares e promover uma cultura de respeito e proteção 
dos dados pessoais.
006. 006. (CESPE-CEBRASPE/APEX BRASIL/ADMINISTRAÇÃO DE PESSOAL/2022) De acordo com a 
LGPD, a garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração 
do tratamento, bem como sobre a integralidade de seus dados pessoais, é traduzida pelo 
princípio do(a)
a) não discriminação.
b) livre acesso.
c) garantia.
d) transparência.
O princípio do “livre acesso” (alternativa B) é fundamental, de acordo com a LGPD, para garantir 
aos titulares de dados o direito de consultar de forma facilitada e gratuita informações 
sobre como seus dados pessoais estão sendo tratados, incluindo a forma e a duração desse 
tratamento, bem como a integralidade de seus dados. Esse princípio está alinhado com 
a transparência e o empoderamento dos titulares de dados, permitindo que eles tenham 
controle sobre suas informações pessoais.
Letra b.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
18 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
TraTamenTo De DaDoS PeSSoaiSTraTamenTo De DaDoS PeSSoaiS
Artigo 7º – Hipóteses de Tratamento de Dados Pessoais:
O Artigo 7º da LGPD define as situações em que o tratamento de dados pessoais é 
permitido. Aqui estão as hipóteses com exemplos:
Consentimento do Titular (I): o tratamento é permitido quando o titular fornece seu 
consentimento explícito.
EXEMPLO
Um site de compras online coleta seus dados pessoais, como nome e endereço, com seu 
consentimento para processar e entregar seu pedido.
Cumprimento de Obrigação Legal ou regulatória (II): os dados podem ser tratados 
quando o controlador está cumprindo uma obrigação legal ou regulatória.
EXEMPLO
Uma empresa de contabilidade coleta informações fiscais de seus clientes para cumprir as 
leis de impostos.
Políticas Públicas (III): a administração pública pode tratar dados para executar políticas 
públicas previstas em leis ou contratos.
EXEMPLO
Um órgão governamental coleta dados demográficos para planejar programas de educação 
pública.
Pesquisa por Órgão de Pesquisa (IV): os órgãos de pesquisa podem realizar estudos, 
desde que anonimizem os dados pessoais sempre que possível.
EXEMPLO
Uma universidade conduz uma pesquisa sobre hábitos de consumo, garantindo que os dados 
dos participantes sejam anonimizados.
Execução de Contrato (V): o tratamento é permitido para a execução de contratos 
dos quais o titular faz parte.
EXEMPLO
Uma seguradora coleta dados pessoais de segurados para processar pedidos de seguro.
Exercício de Direitos em Processos (VI): os dados podem ser tratados para permitir o 
exercício de direitos em processos judiciais, administrativos ou arbitrais.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
19 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
EXEMPLO
Em um processo de divórcio, informações financeiras podem ser coletadas para determinar 
divisão de bens.
Proteção de Vida ou Incolumidade Física (VII): o tratamento é permitido para proteger 
a vida ou a integridade física do titular ou de terceiros.
EXEMPLO
Um hospital compartilha com a polícia informações médicas de um paciente ferido para 
auxiliar na investigação de um crime.
Tutela da Saúde (VIII): os profissionais de saúde podem tratar dados pessoais 
exclusivamente para a saúde do paciente.
EXEMPLO
Um médico registra informações de um paciente para fazer um diagnóstico preciso.
Interesses Legítimos (IX): o tratamento é permitido quando atenda aos interesses 
legítimos do controlador ou de terceiros, desde que não prejudique os direitos fundamentais 
do titular.
EXEMPLO
Uma loja online usa seus dados de compra para recomendar produtos com base em seu 
histórico de compras.
Proteção de Crédito (X): os dados podem ser tratados para proteger crédito, incluindo 
conformidade com a legislação relevante.
EXEMPLO
Um banco pode verificar seu histórico de crédito antes de aprovar um empréstimo.
007. 007. (FGV/CGE-SC/AUDITOR DO ESTADO-ADMINISTRAÇÃO/2023) O tratamento de dados 
pessoais cujo acesso é público deve considerara finalidade, a boa-fé e o interesse público 
que justificaram sua disponibilização. Em tema de requisitos para o tratamento de dados 
pessoais, segundo a Lei Geral de Proteção de Dados Pessoais – LGPD), o tratamento de 
dados pessoais somente poderá ser realizado em algumas hipóteses. Essas hipóteses são 
apresentadas nas opções a seguir, à exceção de uma. Assinale-a.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
20 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
a) Proteção da vida ou da incolumidade física do titular ou de terceiro.
b) Cumprimento de obrigação legal ou regulatória pelo controlador.
c) Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização 
dos dados pessoais.
d) Tutela da saúde em sentido amplo, sem exclusivamente em procedimento realizado por 
profissionais de saúde, serviços de saúde ou autoridade sanitária.
e) Necessidade para a execução de contrato ou de procedimentos preliminares relacionados 
a contrato do qual seja parte o titular, a pedido do titular dos dados.
a) Certa. É uma das hipóteses permitidas para o tratamento de dados pessoais, de acordo 
com a LGPD. O tratamento de dados pessoais é permitido quando necessário para proteger 
a vida ou a integridade física do titular dos dados ou de terceiros.
b) Certa. É outra hipótese válida para o tratamento de dados pessoais sob a LGPD. Os 
controladores podem tratar dados pessoais quando necessário para cumprir obrigações 
legais ou regulatórias.
c) Certa. A LGPD permite o tratamento de dados pessoais para fins de pesquisa, desde 
que sejam adotadas medidas de anonimização ou pseudonimização sempre que possível. 
Portanto, esta é uma hipótese válida.
d) Errada. É a exceção, pois a LGPD não prevê explicitamente o tratamento de dados pessoais 
para a tutela da saúde em sentido amplo, a menos que esteja relacionado a procedimentos 
realizados por profissionais de saúde, serviços de saúde ou autoridade sanitária.
e) Certa. É outra hipótese válida de tratamento de dados pessoais sob a LGPD. O tratamento 
de dados pessoais é permitido quando necessário para a execução de um contrato do qual o 
titular dos dados é parte ou para procedimentos preliminares relacionados a esse contrato.
Letra d.
008. 008. (INSTITUTO AOCP/IF-MA/TÉCNICO EM TECNOLOGIA DA INFORMAÇÃO/2023) De acordo 
com a LGPD, o tratamento de dados pessoais somente poderá ser realizado nas seguintes 
hipóteses, EXCETO
a) mediante o fornecimento de consentimento pelo titular.
b) para o cumprimento de obrigação legal ou regulatória pelo controlador.
c) para a proteção da vida ou da incolumidade física do titular ou de terceiro.
d) quando necessário para atender aos interesses legítimos do controlador ou de terceiro, 
independentemente dos direitos e liberdades fundamentais do titular que exigem a proteção 
dos dados pessoais.
e) para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
21 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
a) Certa. A LGPD estabelece que uma das bases legais para o tratamento de dados pessoais 
é o consentimento do titular. Portanto, esta é uma hipótese válida para o tratamento de 
dados pessoais, desde que o consentimento seja obtido de forma adequada.
b) Certa. Esta é outra hipótese válida de tratamento de dados pessoais de acordo com 
a LGPD. Os controladores podem tratar dados pessoais quando necessário para cumprir 
obrigações legais ou regulatórias.
c) Certa. A LGPD permite o tratamento de dados pessoais quando necessário para proteger 
a vida ou a integridade física do titular dos dados ou de terceiros. Portanto, esta é uma 
hipótese válida.
d) Errada. Esta é a exceção, conforme indicado no gabarito. Embora a LGPD permita o 
tratamento de dados pessoais com base nos interesses legítimos do controlador ou de 
terceiros, essa base legal deve ser avaliada em relação aos direitos e liberdades fundamentais 
do titular. Se esses direitos e liberdades exigirem a proteção dos dados pessoais, eles 
prevalecerão sobre os interesses legítimos.
e) Certa. A LGPD também permite o tratamento de dados pessoais para a proteção do 
crédito, desde que isso esteja de acordo com a legislação aplicável. Portanto, esta é outra 
hipótese válida.
Letra d.
009. 009. (FGV/SEFAZ-AM/ASSISTENTE ADMINISTRATIVO DA FAZENDA ESTADUAL/2022) De 
acordo com a Lei Geral de Proteção de Dados Pessoais (LGPD), o tratamento de dados 
pessoais sensíveis somente poderá ocorrer em algumas situações, como sem fornecimento 
de consentimento do titular, nas hipóteses em que for indispensável para
a) a proteção da vida ou da incolumidade física do titular, mas não de terceiro.
b) o exercício regular de direitos em processo judicial, vedada a utilização em processo 
administrativo e arbitral.
c) a realização de estudos por órgão de pesquisa, vedada a anonimização dos dados pessoais 
sensíveis.
d) o tratamento compartilhado de dados necessários à execução, pela administração pública, 
de políticas públicas previstas em leis ou regulamentos.
e) a tutela da saúde, exclusivamente, em procedimento realizado por autoridade sanitária, 
excluídos os demais profissionais e serviços de saúde.
a) Errada. A LGPD permite o tratamento de dados pessoais sensíveis sem o consentimento 
do titular quando for indispensável para a proteção da vida ou da incolumidade física do 
próprio titular ou de terceiros.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
22 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
b) Errada. A LGPD prevê a possibilidade de tratamento de dados pessoais sensíveis sem o 
consentimento do titular quando for necessário para o exercício regular de direitos em um 
processo judicial e a utilização em processo administrativo e arbitral.
c) Errada. A LGPD permite o tratamento de dados pessoais sensíveis para fins de pesquisa, 
mas exige a adoção de medidas de anonimização ou pseudonimização sempre que possível.
d) Certa. Esta é a exceção, conforme indicado no gabarito. A LGPD permite o tratamento de 
dados pessoais sensíveis sem o consentimento do titular quando necessário para a execução 
de políticas públicas pela administração pública. Portanto, essa é a resposta correta como 
a exceção entre as opções apresentadas.
e) Errada. A LGPD não especifica que o tratamento de dados pessoais sensíveis para a tutela 
da saúde deve ser realizado exclusivamente por autoridade sanitária, excluindo outros 
profissionais e serviços de saúde. Portanto, essa não é uma hipótese válida de tratamento 
de dados pessoais sensíveis de acordo com a LGPD.
Letra d.
010. 010. (FGV/SEFAZ-MT/FISCAL DE TRIBUTOS ESTADUAIS/2023) De acordo com a Lei Geral de 
Proteção de Dados Pessoais (Lei n. 13.709/2018), o tratamento de dados pessoais somente 
poderá ser realizado em algumas hipóteses previstas na citada LGPD.
Assinale a opção que contém uma dessas hipóteses.
a) Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.b) Para a realização de estudos por órgão de pesquisa, vedada, em qualquer caso, a 
anonimização dos dados pessoais.
c) Para o cumprimento de obrigação legal ou regulatória pelo controlador, desde que 
mediante prévia e indispensável autorização judicial.
d) Quando necessário para a execução de contrato ou de procedimentos preliminares 
relacionados a contrato do qual seja parte o titular, a pedido de qualquer cidadão.
e) Pela administração pública, para o tratamento e uso compartilhado de dados necessários 
à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em 
contratos, convênios ou instrumentos congêneres, desde que mediante prévia e indispensável 
autorização da autoridade fazendária competente.
a) Certa. A LGPD permite o tratamento de dados pessoais para a proteção do crédito, desde 
que esteja em conformidade com a legislação aplicável. Portanto, esta é uma hipótese válida.
b) Errada. A LGPD permite o tratamento de dados pessoais para fins de pesquisa, mas exige 
a adoção de medidas de anonimização ou pseudonimização sempre que possível.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
23 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
c) Errada. Essa alternativa não está de acordo com a LGPD. O tratamento de dados pessoais 
para o cumprimento de obrigações legais ou regulatórias não requer autorização judicial 
prévia, a menos que a lei assim o exija em casos específicos.
d) Errada. O tratamento de dados pessoais é permitido quando necessário para a execução 
de um contrato do qual o titular dos dados seja parte, a pedido deste.
e) Errada. A administração pública pode tratar e compartilhar dados para a execução de 
políticas públicas, desde que esteja autorizada pela legislação e autoridade competente.
Letra a.
011. 011. (FEPESE/PREF. CUNHA PORÃ-SC/AGENTE ADMINISTRATIVO/2023) De acordo com a Lei 
Geral de Proteção de Dados Pessoais (LGPD), assinale a alternativa que indica corretamente 
uma das hipóteses na qual o tratamento de dados pessoais sensíveis poderá ocorrer.
a) Somente quando o Poder Judiciário consentir, após ouvidos os titulares ou seus 
representantes, para proteção da vida ou da incolumidade física do titular ou de terceiros.
b) Para tutela da saúde, exclusivamente, em procedimento realizado por profissionais de 
saúde, serviços de saúde ou autoridade sanitária, somente se o titular ou seu responsável 
legal consentir.
c) Sem fornecimento de consentimento do titular, quando for indispensável para realização 
de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos 
dados pessoais sensíveis.
d) É permitida a comunicação ou o uso compartilhado entre controladores de dados 
pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto 
nas hipóteses relativas à prestação de serviços de saúde, de assistência farmacêutica e de 
assistência à saúde.
e) É permitido às operadoras de planos privados de assistência à saúde o tratamento de 
dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, 
assim como na contratação e exclusão de beneficiários.
a) Errada. A LGPD permite o tratamento de dados pessoais sensíveis sem o consentimento 
do titular quando for necessário para a proteção da vida ou da incolumidade física do próprio 
titular ou de terceiros. A autorização judicial não é exigida para essa finalidade.
b) Errada. A LGPD prevê que o tratamento de dados pessoais sensíveis relacionados à saúde 
pode ocorrer sem consentimento do titular quando necessário para a tutela da saúde, não 
exigindo consentimento em todas as situações.
c) Certa. Está alinhada com a LGPD. A lei permite o tratamento de dados pessoais sensíveis para 
fins de pesquisa, desde que sejam adotadas medidas de anonimização ou pseudonimização 
sempre que possível.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
24 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
d) Errada. A LGPD não permite o tratamento de dados pessoais sensíveis com o objetivo 
de obter vantagem econômica, a menos que haja uma base legal específica que o autorize. 
Essa base legal deve estar de acordo com as disposições da LGPD.
e) Errada. A LGPD impõe restrições ao tratamento de dados de saúde para a seleção de riscos, 
exigindo que o tratamento seja estritamente necessário para a celebração ou execução de 
contratos relacionados à assistência à saúde. O uso irrestrito para essa finalidade não é 
permitido pela lei.
Letra c.
Artigo 8º – Consentimento:
O Artigo 8º detalha as regras sobre como o consentimento deve ser obtido:
Forma do Consentimento (I): deve ser fornecido por escrito ou por outro meio que 
demonstre a manifestação de vontade do titular.
EXEMPLO
Ao se inscrever em um site, você deve marcar uma caixa confirmando seu consentimento 
para os termos de uso.
Cláusula Destacada (§ 1º): se for fornecido por escrito, o consentimento deve estar 
em uma cláusula destacada das demais cláusulas contratuais.
EXEMPLO
Em um contrato, a cláusula de consentimento deve ser visível e separada das outras cláusulas.
Ônus da Prova (§ 2º): o controlador tem o ônus de provar que o consentimento foi 
obtido em conformidade com a LGPD.
EXEMPLO
Se um órgão governamental coleta dados, ele deve manter registros para provar que obteve 
o consentimento apropriado.
Vício de Consentimento (§ 3º): é proibido o tratamento de dados pessoais mediante 
vício de consentimento.
EXEMPLO
Se alguém for coagido a fornecer seus dados, isso é considerado um vício de consentimento.
Finalidades Determinadas (§ 4º): o consentimento deve se referir a finalidades 
específicas, não sendo permitidas autorizações genéricas.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
25 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
EXEMPLO
Você concede consentimento para que uma empresa de e-commerce use seus dados apenas 
para processar seu pedido, não para outros fins.
Revogação (§ 5º): o titular pode revogar o consentimento a qualquer momento.
EXEMPLO
Você pode retirar seu consentimento para receber newsletters de uma empresa a qualquer 
momento.
Alterações Informadas (§ 6º): se houver alterações nas informações referidas no 
consentimento, o controlador deve informar o titular.
EXEMPLO
Se uma empresa de mídia social alterar sua política de privacidade, ela deve informar os 
usuários sobre as mudanças.
012. 012. (INÉDITA/2023) Julgue o item.
De acordo com o Artigo 8º da Lei Geral de Proteção de Dados Pessoais (LGPD), o consentimento 
para o tratamento de dados pessoais pode ser obtido de forma oral, sem a necessidade de 
manifestação escrita do titular.
Conforme as disposições da LGPD, o consentimento deve ser fornecido por escrito ou por outro 
meio que demonstre a manifestação de vontade do titular. Isso significa que o consentimento 
não pode ser obtido de forma oral, sendo necessário que haja um registro ou documento que 
comprove a concordância do titular com o tratamento de seus dados pessoais.
Errado.013. 013. (INÉDITA/2023) Julgue o item.
O controlador de dados pessoais tem o ônus de provar que obteve o consentimento do 
titular em conformidade com a LGPD.
Conforme as disposições da LGPD, o controlador de dados pessoais tem, de fato, o ônus 
de provar que obteve o consentimento do titular de acordo com a lei. Isso significa que é 
responsabilidade do controlador demonstrar que o consentimento foi obtido de maneira 
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
26 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
adequada, seja por escrito ou por outro meio que demonstre a manifestação de vontade 
do titular.
Certo.
014. 014. (FGV/MPE-SC/ANALISTA DE DADOS E PESQUISA/2022) De acordo com a LGPD (Lei 
Geral de Proteção de Dados Pessoais), o consentimento é a manifestação livre, informada 
e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para 
uma finalidade determinada.
Conforme o Art. 8º, § 2º, da Lei n. 13.709/2018, o ônus da prova de que o consentimento 
foi obtido em conformidade com o disposto na LGPD é do(a):
a) titular;
b) controlador;
c) encarregado;
d) órgão de pesquisa;
e) autoridade nacional.
De acordo com o Artigo 8º, § 2º, da Lei Geral de Proteção de Dados Pessoais (LGPD), o 
ônus da prova de que o consentimento foi obtido em conformidade com o disposto na 
LGPD recai sobre o controlador de dados pessoais. Isso significa que é responsabilidade 
do controlador demonstrar que o consentimento do titular foi obtido de acordo com as 
normas estabelecidas pela LGPD.
Letra b.
015. 015. (FCC/TRT 4ª REGIÃO-RS/TÉCNICO JUDICIÁRIO-TECNOLOGIA DA INFORMAÇÃO/2022) A 
Lei Geral de Proteção de Dados Pessoais (LGPD), Lei n. 13.709/2018, define consentimento 
como a manifestação livre, informada e inequívoca pela qual o titular concorda com o 
tratamento de seus dados pessoais para uma finalidade determinada. Sobre consentimento, 
é correto afirmar que
a) é irrevogável, uma vez concedido pelo titular dos dados pessoais.
b) não é obrigatório que seja concedido por escrito.
c) pode referir-se a finalidades determinadas ou genéricas.
d) é necessário ainda que os dados tenham sido tornados manifestamente públicos pelo 
titular.
e) cabe ao titular dos dados pessoais o ônus da prova de que o consentimento foi concedido 
em conformidade com o disposto na LGPD.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
27 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
“Não é obrigatório que seja concedido por escrito” está de acordo com a LGPD. A lei não exige 
que o consentimento seja necessariamente concedido por escrito; ele pode ser obtido de 
outras formas, desde que seja uma manifestação livre, informada e inequívoca por parte 
do titular.
As demais alternativas não estão de acordo com as disposições da LGPD:
a) Errada. O consentimento não é irrevogável; o titular tem o direito de revogá-lo a qualquer 
momento.
c) Errada. O consentimento deve se referir a finalidades determinadas, não sendo permitidas 
autorizações genéricas.
d) Errada. A LGPD não requer que os dados tenham sido tornados manifestamente públicos 
pelo titular para a obtenção de consentimento.
e) O ônus da prova de que o consentimento foi concedido em conformidade com a LGPD 
recai sobre o controlador de dados pessoais, não sobre o titular.
Letra b.
016. 016. (QUADRIX/CFO-DF/AGENTE OPERACIONAL/2022) Segundo a Lei n. 13.709/2018 (LGPD), 
julgue o item.
Consentimento consiste na autorização, expressa ou tácita, pelo titular, para uso de seus 
dados pessoais.
Segundo a Lei Geral de Proteção de Dados Pessoais (LGPD), o consentimento consiste na 
autorização expressa pelo titular para o uso de seus dados pessoais. A LGPD exige que o 
consentimento seja explícito e inequívoco, o que significa que deve ser dado de forma 
clara e específica pelo titular, não podendo ser tácito. Portanto, a afirmação de que o 
consentimento pode ser tácito está incorreta.
Errado.
017. 017. (QUADRIX/CRO-BA/AGENTE DE FISCALIZAÇÃO/2023) Conforme a Lei Geral de Proteção 
de Dados Pessoais (LGPD), julgue o item subsequente.
O tratamento de dados pessoais somente poderá ser realizado mediante o consentimento 
do titular, o qual deverá ser declarado necessariamente por escrito.
Conforme a Lei Geral de Proteção de Dados Pessoais (LGPD), o tratamento de dados 
pessoais pode ser realizado com base no consentimento do titular, mas o consentimento não 
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
28 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
necessariamente precisa ser declarado por escrito. A LGPD estabelece que o consentimento 
pode ser fornecido de forma escrita ou por outro meio que demonstre a manifestação de 
vontade do titular.
Errado.
Artigo 9º – Direito de Acesso às Informações sobre o Tratamento de Dados
O Artigo 9º da LGPD trata do direito do titular de ter acesso às informações relacionadas 
ao tratamento de seus dados pessoais. As informações devem ser disponibilizadas de forma 
clara, adequada e ostensiva, incluindo:
Finalidade Específica (I): a finalidade específica do tratamento dos dados.
EXEMPLO
Um aplicativo de entrega de alimentos deve informar que coleta dados pessoais, como 
localização, para entregar pedidos aos clientes.
Forma e Duração (II): a maneira como os dados são tratados e por quanto tempo, 
respeitando segredos comerciais e industriais.
EXEMPLO
Uma empresa de análise de mercado pode coletar dados de vendas de produtos para análise 
estatística por três anos.
Identificação do Controlador (III): a identificação do responsável pelo tratamento 
dos dados.
EXEMPLO
Um site de comércio eletrônico deve identificar claramente a empresa responsável pelo 
tratamento dos dados dos clientes.
Informações de Contato (IV): os meios de contato com o controlador.
EXEMPLO
Um aplicativo de redes sociais deve fornecer informações de contato para que os usuários 
possam fazer perguntas sobre privacidade.
Uso Compartilhado (V): informações sobre o compartilhamento de dados pelo controlador 
e a finalidade desse compartilhamento.
EXEMPLO
Um banco que compartilha informações de clientes com uma agência de crédito deve informar 
como esses dados são usados para avaliação de crédito.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
29 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
Responsabilidades dos Agentes (VI): as responsabilidades dos agentes que realizarão 
o tratamento dos dados.
EXEMPLO
Uma empresa de hospedagem de sites deve informar como protege os dados de seus clientes 
em conformidade com a LGPD.
Direitos do Titular (VII): os direitos do titular, incluindo aqueles descritos no Artigo 
18 da LGPD.
EXEMPLO
Um aplicativo de mídiasocial deve informar aos usuários sobre seu direito de acessar, corrigir 
e excluir seus próprios dados.
Consentimento Enganoso (§ 1º): o consentimento será considerado nulo se as informações 
fornecidas ao titular forem enganosas, abusivas ou não apresentadas com transparência.
EXEMPLO
Uma empresa que coleta dados de localização para “melhorar a experiência do usuário” sem 
esclarecer que também vende esses dados a terceiros.
Mudanças de Finalidade (§ 2º): se houver mudanças na finalidade do tratamento 
de dados não compatíveis com o consentimento original, o controlador deve informar 
previamente o titular e permitir a revogação do consentimento.
EXEMPLO
Uma empresa de marketing que decide usar dados de clientes para publicidade direcionada, 
quando o consentimento original foi para fins de análise interna.
Tratamento como Condição (§ 3º): se o tratamento de dados for uma condição para 
fornecer um produto, serviço ou exercer um direito, o titular deve ser informado de maneira 
destacada.
EXEMPLO
Uma plataforma de streaming de música deve informar que o acesso às músicas requer o 
tratamento de dados pessoais.
Artigo 10 – Tratamento Baseado no Legítimo Interesse do Controlador:
O Artigo 10 da LGPD aborda o tratamento de dados pessoais com base no legítimo 
interesse do controlador:
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
30 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
Finalidades Legítimas (I e II): o tratamento baseado no legítimo interesse do controlador 
só é permitido para finalidades legítimas, que devem ser determinadas com base em 
situações concretas.
EXEMPLO
Uma empresa de comércio eletrônico que usa seu histórico de compras para personalizar 
ofertas de produtos.
Dados Estritamente Necessários (§ 1º): somente os dados pessoais estritamente 
necessários para a finalidade pretendida podem ser tratados.
EXEMPLO
Um site de notícias que coleta apenas seu endereço de e-mail para enviar boletins informativos.
Transparência (§ 2º): o controlador deve adotar medidas para garantir a transparência 
no tratamento de dados com base em seu legítimo interesse.
EXEMPLO
Uma empresa de marketing deve explicar claramente como usa dados de clientes para 
personalizar anúncios.
Relatório de Impacto (§ 3º): a autoridade nacional pode solicitar um relatório de 
impacto à proteção de dados pessoais quando o tratamento se basear no legítimo interesse 
do controlador.
EXEMPLO
Uma empresa que coleta dados de geolocalização para melhorar a eficiência de suas entregas 
deve preparar um relatório de impacto se solicitado pela autoridade nacional de proteção 
de dados.
018. 018. (CONSULPLAN/CORE-GO/ASSISTENTE ADMINISTRATIVO/2023) A Lei Geral de Proteção de 
Dados Pessoais (LGPD) dispõe sobre a “documentação do controlador que contém a descrição 
dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis 
e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação 
de risco”. Esta documentação trata-se de:
a) Relatório de impacto à proteção de dados pessoais.
b) Parecer de transparência e riscos aos direitos fundamentais.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
31 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
c) Plano de comunicação, difusão e transferência de dados pessoais.
d) Sistema de anonimização, consentimento e bloqueio de dados pessoais.
A documentação do controlador que contém a descrição dos processos de tratamento de 
dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, 
bem como medidas, salvaguardas e mecanismos de mitigação de risco, é conhecida como 
Relatório de Impacto à Proteção de Dados Pessoais (RIPD). O RIPD é um documento importante 
previsto na Lei Geral de Proteção de Dados Pessoais (LGPD) que ajuda a identificar, avaliar 
e minimizar os riscos relacionados ao tratamento de dados pessoais.
Letra a.
019. 019. (CESPE-CEBRASPE/SECONT-ES/AUDITOR DO ESTADO-TECNOLOGIA DA INFORMA-
ÇÃO/2022) Julgue o item a seguir, com relação a sistemas de proteção AntiSpam, a normas 
da NBR ISO/IEC 27005, aos planos de continuidade de negócios e a disposições da Lei Geral 
de Proteção de Dados Pessoais (LGPD).
Conforme definido pela LGPD, o relatório de impacto à proteção de dados pessoais é a 
documentação do controlador que contém a descrição dos processos de tratamento de 
dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, 
bem como medidas, salvaguardas e mecanismos de mitigação de risco.
O relatório de impacto à proteção de dados pessoais, conforme definido pela Lei Geral de 
Proteção de Dados (LGPD), é de fato a documentação do controlador que contém a descrição 
dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e 
aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de 
risco. Esse relatório é uma ferramenta importante para ajudar as organizações a identificar 
e abordar possíveis riscos relacionados ao tratamento de dados pessoais.
Certo.
Do TraTamenTo De DaDoS PeSSoaiS SenSÍVeiSDo TraTamenTo De DaDoS PeSSoaiS SenSÍVeiS
Artigo 11 – Tratamento de Dados Pessoais Sensíveis
O Artigo 11 da LGPD estabelece as hipóteses em que o tratamento de dados pessoais 
sensíveis é permitido:
Consentimento Específico (I): o tratamento de dados pessoais sensíveis requer o 
consentimento específico e destacado do titular para finalidades específicas.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
32 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
EXEMPLO
Um hospital solicita o consentimento específico de um paciente para coletar e usar seus 
dados médicos para fins de pesquisa médica.
Dispensa de Consentimento (II): em algumas situações, o tratamento de dados pessoais 
sensíveis pode ocorrer sem o consentimento do titular, como quando for indispensável para:
a) Cumprimento de Obrigação Legal (II a): o controlador precisa tratar dados de saúde 
para cumprir uma obrigação legal, como relatórios obrigatórios às autoridades de saúde.
b) Tratamento Compartilhado (II b): o tratamento é necessário para a execução de 
políticas públicas pela administração pública.
c) Realização de Estudos (II c): os dados são utilizados para estudos por órgãos de 
pesquisa, com garantia de anonimização sempre que possível.
EXEMPLO
Um órgão de pesquisa utiliza dados de pacientes anonimizados para estudar a eficácia de 
tratamentos médicos.
d) Exercício Regular de Direitos (II d): os dados são usados no exercício de direitos, 
incluindo contratos e processos judiciais ou administrativos.
e) Proteção da Vida (II e): o tratamento é necessário para proteger a vida ou a integridade 
física do titular ou de terceiros.
f) Tutela da Saúde (II f): o tratamento é exclusivamente realizado por profissionais de 
saúde, serviços de saúde ou autoridades sanitárias para proteger a saúde.
g) Prevenção à Fraude e Segurança (II g): o tratamento é realizado para prevenir fraudes 
e protegera segurança do titular, especialmente em sistemas eletrônicos.
Aplicação Geral (§ 1º): o artigo se aplica a qualquer tratamento de dados pessoais que 
revele dados sensíveis e que possa causar dano ao titular.
Publicidade na Dispensa de Consentimento (§ 2º): quando órgãos e entidades públicas 
aplicarem as exceções de dispensa de consentimento, deverão fornecer publicidade sobre 
essa dispensa.
Vedação ou Regulamentação (§ 3º): a autoridade nacional pode vedar ou regulamentar a 
comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com o 
objetivo de obter vantagem econômica, após consulta aos órgãos setoriais do Poder Público.
Vedação de Seleção de Riscos (§ 5º): operadoras de planos privados de assistência à 
saúde não podem usar dados de saúde para a seleção de riscos na contratação ou exclusão 
de beneficiários.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
33 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
020. 020. (IDECAN/SEFAZ-RR/TÉCNICO EM INFRAESTRUTURA DE TECNOLOGIA DA INFORMA-
ÇÃO/2023) Segundo a LGPD, o tratamento de dados pessoais sensíveis poderá ocorrer sem 
o fornecimento de consentimento do titular, exceto para:
a) Cumprimento de obrigação legal ou regulatória pelo controlador.
b) Tratamento compartilhado de dados necessários à execução, pela administração pública, 
de políticas públicas previstas em leis ou regulamentos.
c) Proteção da vida ou da incolumidade física do titular ou de terceiro
d) Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, 
serviços de saúde ou autoridade sanitária.
e) Realização de estudos por órgão de pesquisa, independente de anonimização dos dados.
a) Certa. A LGPD permite o tratamento de dados pessoais sensíveis sem o consentimento 
do titular quando necessário para o cumprimento de obrigação legal ou regulatória pelo 
controlador.
b) Certa. A LGPD também autoriza o tratamento compartilhado de dados pessoais sensíveis, 
desde que seja necessário para a execução de políticas públicas previstas em leis ou 
regulamentos pela administração pública.
c) Certa. Uma das exceções previstas na LGPD para o tratamento de dados pessoais sensíveis 
é quando for necessário para proteger a vida ou a incolumidade física do titular ou de 
terceiros. Portanto, o consentimento não é estritamente necessário nesse caso.
d) Errada. A LGPD estabelece que o tratamento de dados pessoais sensíveis relacionados 
à saúde pode ocorrer sem o consentimento do titular quando necessário para a tutela da 
saúde, exclusivamente em procedimento realizado por profissionais de saúde, serviços de 
saúde ou autoridade sanitária.
e) Certa. A LGPD permite o tratamento de dados pessoais sensíveis para a realização de 
estudos por órgão de pesquisa, desde que seja garantida, sempre que possível, a anonimização 
dos dados pessoais sensíveis.
Letra d.
021. 021. (CESPE-CEBRASPE/CNMP/ANALISTA-GESTÃO PÚBLICA/2023) No tocante aos dados 
pessoais sensíveis e ao seu tratamento, julgue o item seguinte com base na Lei Geral de 
Proteção de Dados (LGPD) — Lei n. 13.709/2018.
A LGPD considera o número do CPF da pessoa natural um dado pessoal sensível.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
34 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
A LGPD estabelece um rol taxativo de dados pessoais sensíveis, e o número do Cadastro de 
Pessoas Físicas (CPF) não está incluído nele.
Errado.
Artigo 12 – Anonimização de Dados
Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento por meio 
dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
O artigo 12 da LGPD trata da anonimização de dados, que deixa de ser considerado 
dado pessoal:
Reversão da Anonimização (§ 1º): os dados anonimizados podem ser considerados dados 
pessoais novamente se o processo de anonimização for revertido utilizando exclusivamente 
meios próprios ou com esforços razoáveis.
EXEMPLO
Se um conjunto de dados anonimizados pode ser reidentificado com relativa facilidade, ele 
ainda será considerado um dado pessoal.
Perfil Comportamental (§ 2º): dados usados para criar um perfil comportamental de 
uma pessoa, se identificada, também podem ser considerados dados pessoais.
EXEMPLO
Se um perfil comportamental é criado com base em dados anonimizados, mas esses dados 
podem ser ligados a um indivíduo, eles permanecem como dados pessoais.
Regulamentação e Segurança (§ 3º): a autoridade nacional pode regulamentar padrões 
e técnicas para a anonimização de dados e verificar sua segurança.
022. 022. (FGV/PGM-NITERÓI/ANALISTA DE TECNOLOGIA DA INFORMAÇÃO/2023) De acordo 
com a Lei n. 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), a convicção 
religiosa e a opinião política vinculadas a uma pessoa natural são consideradas dados 
pessoais sensíveis. O tratamento realizado nesse tipo de dado que perde a possibilidade 
de associação, direta ou indireta, a um indivíduo é:
a) Difusão;
b) Bloqueio;
c) Eliminação;
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
35 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
d) Anonimização;
e) Compartilhamento.
De acordo com a Lei Geral de Proteção de Dados Pessoais (LGPD), a convicção religiosa e a 
opinião política vinculadas a uma pessoa natural são consideradas dados pessoais sensíveis. 
O tratamento realizado nesse tipo de dado que perde a possibilidade de associação, direta 
ou indireta, a um indivíduo é a “anonimização.”
Letra d.
Artigo 13 – Estudos em Saúde Pública
O Artigo 13 trata do tratamento de dados pessoais em estudos em saúde pública.
Acesso a Dados por Órgãos de Pesquisa: órgãos de pesquisa podem ter acesso a bases 
de dados pessoais para estudos e pesquisas em saúde pública.
EXEMPLO
Um instituto de pesquisa em saúde pode acessar dados de pacientes para realizar um estudo 
epidemiológico sobre uma doença.
Divulgação Sem Dados Pessoais (§ 1º): a divulgação de resultados de estudos não 
pode revelar dados pessoais.
Responsabilidade pela Segurança (§ 2º): o órgão de pesquisa é responsável pela 
segurança dos dados e não pode transferi-los a terceiros.
Regulamentação (§ 3º): o acesso a esses dados será regulamentado pela autoridade 
nacional e autoridades da área de saúde e sanitárias.
Do TraTamenTo De DaDoS PeSSoaiS De criançaS e De Do TraTamenTo De DaDoS PeSSoaiS De criançaS e De 
aDoLeScenTeSaDoLeScenTeS
Artigo 14 – Tratamento de Dados de Crianças e Adolescentes
O Artigo 14 da LGPD trata especificamente do tratamento de dados pessoais de crianças 
e adolescentes. Ele estabelece medidas e diretrizes para garantir a proteção e o interesse 
desses grupos. Vamos esquematizar as principais disposições do artigo:
Tratamento no Melhor Interesse (caput): o tratamento de dados pessoais de crianças 
e adolescentes deve ser realizado considerando o melhor interesse deles, conforme este 
artigo e a legislação pertinente.
Consentimento Específico (§ 1º): para o tratamento de dados de crianças, é 
necessárioobter o consentimento específico e destacado de pelo menos um dos pais ou 
do responsável legal.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
36 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
EXEMPLO
Uma plataforma online que coleta dados de crianças para jogos educacionais precisa do 
consentimento dos pais ou responsável antes de coletar esses dados.
Informações Públicas (§ 2º): os controladores devem tornar públicas informações sobre 
os tipos de dados coletados, como esses dados são usados e como os pais ou responsáveis 
podem exercer os direitos previstos na Lei.
EXEMPLO
Uma empresa que coleta dados de crianças em seu site deve disponibilizar informações claras 
sobre como esses dados são usados e como os pais podem acessar ou excluir esses dados.
Coleta Necessária (§ 3º): dados pessoais de crianças podem ser coletados sem consentimento 
quando necessários para contatar os pais ou responsável, com uso único e sem armazenamento. 
Esses dados não podem ser compartilhados com terceiros sem consentimento.
EXEMPLO
Se uma escola precisa coletar o número de telefone dos pais para entrar em contato em caso 
de emergência, essa coleta pode ser feita sem consentimento da criança, mas os dados não 
podem ser vendidos a terceiros.
Restrições em Atividades (§ 4º): os controladores não podem condicionar a participação 
de crianças em jogos, aplicativos da internet ou outras atividades ao fornecimento de 
informações pessoais além das estritamente necessárias para a atividade.
EXEMPLO
Um aplicativo de jogo não pode exigir que a criança forneça seu endereço de e-mail para 
jogar; só pode solicitar informações diretamente relacionadas ao jogo.
Verificação de Consentimento (§ 5º): os controladores devem fazer esforços razoáveis 
para verificar se o consentimento obtido no § 1º foi dado pelo responsável da criança, 
levando em conta as tecnologias disponíveis.
EXEMPLO
Uma empresa que coleta dados de crianças pode usar métodos de verificação, como por 
e-mail ou SMS, para garantir que o consentimento seja dado por um adulto responsável.
Comunicação Clara e Acessível (§ 6º): as informações sobre o tratamento de dados 
devem ser fornecidas de maneira simples, clara e acessível, considerando as características 
físicas, perceptivas, sensoriais, intelectuais e mentais do usuário, incluindo o uso de recursos 
audiovisuais quando apropriado.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
37 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
EXEMPLO
Um site destinado a crianças deve usar linguagem simples e explicar, por meio de gráficos ou 
vídeos, como os dados serão usados e protegidos.
Este artigo visa garantir a proteção das informações pessoais de crianças e adolescentes, 
promovendo a transparência e a privacidade em todas as atividades que envolvem o 
tratamento de seus dados.
Do TÉrmino Do TraTamenTo De DaDoSDo TÉrmino Do TraTamenTo De DaDoS
Artigo 15 – Término do Tratamento de Dados Pessoais
O Artigo 15 da Lei Geral de Proteção de Dados (LGPD) estabelece as situações em que 
o tratamento de dados pessoais deve ser encerrado. Vamos esquematizar essas hipóteses:
Finalidade Alcançada (I): o tratamento de dados pessoais deve ser encerrado quando 
for verificado que a finalidade para a qual esses dados foram coletados foi alcançada. Além 
disso, se os dados não forem mais necessários ou pertinentes para alcançar a finalidade 
específica desejada, o tratamento deve ser encerrado.
EXEMPLO
Uma empresa que coleta informações de contato de clientes para envio de uma newsletter 
deve encerrar o tratamento desses dados quando deixar de enviá-la.
Fim do Período de Tratamento (II): quando o período de tratamento determinado 
para os dados terminar, o tratamento deve ser encerrado. Isso pode ocorrer, por exemplo, 
quando expira o contrato entre o titular dos dados e o controlador.
EXEMPLO
Um site de e-commerce deve parar de usar os dados de compra de um cliente quando o 
período de garantia dos produtos adquiridos encerrar.
Comunicação do Titular (III): o tratamento de dados pessoais pode ser encerrado 
quando o titular dos dados comunicar sua decisão de fazê-lo, incluindo o exercício do 
direito de revogar o consentimento, conforme estipulado no § 5º do artigo 8º da LGPD. No 
entanto, isso está sujeito ao interesse público.
EXEMPLO
Um serviço de assinatura de boletim informativo deve parar de enviar e-mails ao titular dos 
dados quando este optar por cancelar a assinatura.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
38 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
Determinação da Autoridade Nacional (IV): a autoridade nacional, responsável pela 
regulamentação e fiscalização da LGPD, pode determinar o encerramento do tratamento 
de dados quando ocorrer violação dos requisitos estabelecidos na Lei.
EXEMPLO
Se uma empresa estiver coletando dados pessoais de maneira inadequada e não estiver 
em conformidade com a LGPD, a autoridade nacional pode ordenar o encerramento desse 
tratamento.
Artigo 16 – Conservação de Dados Pessoais
O Artigo 16 da LGPD define as situações em que os dados pessoais podem ser conservados 
após o término de seu tratamento. Vejamos as finalidades permitidas para essa conservação:
Cumprimento de Obrigação Legal ou Regulatória (I): os dados pessoais podem ser 
mantidos quando necessário para cumprir uma obrigação legal ou regulatória imposta 
ao controlador.
EXEMPLO
Uma empresa deve manter registros financeiros por um certo período de acordo com as leis 
fiscais.
Estudo por Órgão de Pesquisa (II): os dados pessoais podem ser conservados para 
permitir estudos conduzidos por órgãos de pesquisa, desde que sejam aplicadas medidas 
de anonimização dos dados sempre que possível.
EXEMPLO
Uma universidade pode manter dados de pesquisa para futuras análises acadêmicas, garantindo 
que os dados dos participantes sejam anonimizados.
Transferência a Terceiros (III): os dados pessoais podem ser mantidos quando sua 
transferência a terceiros é necessária, desde que sejam respeitados todos os requisitos de 
tratamento de dados estabelecidos na LGPD.
EXEMPLO
Uma empresa pode compartilhar dados de seus clientes com uma empresa de logística para 
a entrega de produtos.
Uso Exclusivo do Controlador (IV): os dados pessoais podem ser conservados para 
uso exclusivo do controlador, desde que esses dados sejam anonimizados e não estejam 
acessíveis a terceiros.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
39 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
EXEMPLO
Uma empresa pode manter dados de histórico de compras de clientes para fins de análise 
de mercado, garantindo que esses dados não sejam compartilhados com outrasempresas.
Essas disposições visam equilibrar a proteção da privacidade dos titulares de dados 
com a necessidade de algumas organizações de reter informações por motivos legais, de 
pesquisa ou comerciais.
DoS DireiToS Do TiTULarDoS DireiToS Do TiTULar
A Lei Geral de Proteção de Dados (LGPD), que entrou em vigor no Brasil em setembro 
de 2020, estabelece direitos e garantias fundamentais para todas as pessoas naturais em 
relação aos seus dados pessoais. O Artigo 17 e os subsequentes da LGPD delineiam esses 
direitos e estabelecem as responsabilidades dos controladores de dados, garantindo a 
proteção da liberdade, intimidade e privacidade dos indivíduos.
Artigo 17 – Titularidade dos Dados Pessoais
Este artigo assegura que todas as pessoas naturais têm a titularidade de seus dados 
pessoais. Ou seja, você é o dono dos seus próprios dados pessoais, e ninguém pode utilizá-
los sem o seu consentimento, a menos que exista uma base legal para fazê-lo. Isso se traduz 
em um controle maior sobre quem pode acessar e usar suas informações pessoais.
Artigo 18 – Direitos do Titular dos Dados
Aqui, o artigo 18 enumera os direitos fundamentais do titular de dados pessoais e 
estabelece como tais direitos podem ser exercidos. Vamos entender cada um deles:
I – Confirmação da Existência de Tratamento
Imagine que você suspeita que uma empresa esteja usando seus dados pessoais de 
forma indevida. Você tem o direito de solicitar a confirmação de que seus dados estão 
realmente sendo processados por essa empresa. Isso lhe dá transparência e controle sobre 
o uso de seus dados.
II – Acesso aos Dados
Esse direito permite que você acesse todas as informações que uma empresa ou 
organização tem sobre você. É como ter uma cópia completa do que está registrado 
em seu nome.
III – Correção de Dados Incompletos, Inexatos ou Desatualizados
Suponha que você perceba que algumas das informações que uma empresa possui sobre 
você estão erradas ou desatualizadas. Neste caso, você pode solicitar que esses dados sejam 
corrigidos. Por exemplo, se seu endereço estiver incorreto, você pode solicitar a atualização 
para garantir que as comunicações da empresa cheguem ao lugar certo.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
40 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
IV – Anonimização, Bloqueio ou Eliminação de Dados Desnecessários
Você tem o direito de solicitar que dados pessoais irrelevantes ou excessivos sejam 
anonimizados, bloqueados ou eliminados. Isso é importante para garantir que apenas as 
informações necessárias sejam mantidas e processadas.
V – Portabilidade dos Dados
Este é um direito interessante. Ele permite que você solicite seus dados pessoais a uma 
empresa e os transfira para outro fornecedor de serviço ou produto. Por exemplo, se você 
deseja mudar de provedor de serviços de e-mail, pode solicitar a portabilidade de seus 
dados para a nova plataforma.
VI – Eliminação dos Dados Pessoais com Consentimento do Titular
Se você deu seu consentimento para o tratamento de seus dados pessoais e, 
posteriormente, decide revogá-lo, a empresa deve eliminar seus dados, a menos que exista 
uma base legal para mantê-los.
VII – Informação sobre Uso Compartilhado de Dados
Você tem o direito de saber com quais entidades, sejam públicas ou privadas, o controlador 
de dados compartilhou suas informações pessoais. Isso fornece transparência sobre com 
quem seus dados estão sendo compartilhados.
VIII – Informação sobre a Possibilidade de Não Fornecer Consentimento e suas 
Consequências
Ao fornecer seu consentimento para o tratamento de dados, você tem o direito de 
receber informações claras sobre as consequências de não o fazer. Isso permite que você 
tome decisões informadas sobre como suas informações serão usadas.
IX – Revogação do Consentimento
Você pode revogar o consentimento dado anteriormente a qualquer momento. Se você 
não quiser mais que suas informações sejam processadas, a empresa deve interromper o 
tratamento, a menos que haja uma base legal para continuar.
§ 1º. Peticionar à Autoridade Nacional
Caso seus direitos não sejam respeitados, você pode apresentar uma petição à Autoridade 
Nacional de Proteção de Dados (ANPD) para que ela investigue e tome as medidas adequadas 
para proteger seus direitos.
§ 2º. Opor-se ao Tratamento sem Consentimento
Se seus dados estiverem sendo tratados com base em uma das exceções que dispensam 
o consentimento e você acredite que isso viola a LGPD, você tem o direito de se opor a esse 
tratamento.
§ 3º. Requerimento Expresso
Todos esses direitos podem ser exercidos por meio de um requerimento expresso ao 
controlador de dados ou a seu representante legal.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
41 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
§ 4º. Comunicação sobre a Impossibilidade Imediata de Atendimento
Se o controlador de dados não puder atender imediatamente ao seu requerimento, ele 
deve informar as razões para tal. Isso garante transparência e clareza sobre o processo.
§ 5º. Gratuidade no Atendimento dos Requerimentos
Não custa nada para você exercer esses direitos. O controlador de dados não pode cobrar 
pelo fornecimento de informações ou pela execução das ações solicitadas.
§ 6º. Informar a outros Agentes de Tratamento
Quando você solicita a correção, eliminação, anonimização ou bloqueio de seus dados 
a um controlador, ele deve informar a outros agentes de tratamento que possam ter 
recebido seus dados para que eles também tomem as mesmas medidas, a menos que isso 
seja impossível ou desproporcional.
§ 7º. Portabilidade dos Dados
Esse direito de portabilidade não inclui dados que já tenham sido anonimizados pelo 
controlador.
§ 8º. Exercício de Direitos perante os Organismos de Defesa do Consumidor
Você também pode exercer esses direitos perante os órgãos de defesa do consumidor, 
caso necessário.
Artigo 19 – Confirmação e Acesso aos Dados
Este artigo detalha como a confirmação e o acesso aos dados pessoais devem ser 
providenciados. Você tem o direito de receber informações claras e completas sobre seus 
dados, incluindo a origem deles, a existência de registro, os critérios de tratamento e sua 
finalidade. Tudo isso deve ser fornecido em formato simplificado e imediatamente ou, se 
necessário, em até 15 dias a partir da data do pedido.
§ 1º. Armazenamento de Dados para Facilitar o Acesso
Os dados pessoais devem ser armazenados em um formato que facilite o exercício do 
seu direito de acesso.
§ 2º. Forma de Fornecimento das Informações
Você pode escolher se deseja receber as informações por meios eletrônicos ou em 
formato impresso, dependendo da sua preferência.
§ 3º. Cópia Eletrônica Integral de Dados
Se o tratamento dos seus dados se basear em consentimento ou contrato, você pode 
solicitar uma cópia eletrônica integral dos seus dados pessoais, em um formato que permita 
seu uso subsequente.
§ 4º. Regulamentação Diferenciada para Setores Específicos
A ANPD pode estabelecer regras específicas sobre os prazos de confirmação e acesso 
para setores específicos.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civile criminal.
https://www.gran.com.br
https://www.gran.com.br
42 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
Artigo 20 – Revisão de Decisões Baseadas em Tratamento Automatizado
Este artigo reconhece que decisões importantes podem ser tomadas com base no 
tratamento automatizado de dados pessoais. Se você acredita que uma decisão que o afeta, 
como sua avaliação de crédito, foi tomada unicamente com base em dados automatizados 
e isso prejudicou seus interesses, você tem o direito de solicitar uma revisão dessa decisão.
§ 1º. Fornecimento de Informações sobre as Decisões Automatizadas
O controlador deve fornecer informações claras sobre os critérios e procedimentos 
usados para a tomada de decisões automatizadas. Isso garante que você saiba como essas 
decisões são deliberadas.
§ 2º. Auditoria em Casos de Segredo Comercial e Industrial
Se o controlador se recusar a fornecer informações com base no segredo comercial e 
industrial, a ANPD pode realizar uma auditoria para verificar se há aspectos discriminatórios 
no tratamento automatizado de dados pessoais.
Artigo 21 – Proteção dos Dados em Exercício de Direitos
Este artigo estabelece que os dados pessoais relacionados ao exercício regular de seus 
direitos como titular não podem ser usados contra você. Por exemplo, se você estiver 
exercendo seu direito de acessar seus dados, a empresa não pode tomar medidas prejudiciais 
com base nas informações que você está buscando.
Artigo 22 – Defesa dos Direitos dos Titulares
O último artigo que abordaremos aqui estabelece que você pode atuar na defesa dos 
seus interesses e direitos, seja individualmente ou coletivamente. Isso significa que você 
pode buscar a proteção de seus dados pessoais na justiça, de forma individual ou como 
parte de uma ação coletiva, caso seus direitos não sejam respeitados.
A LGPD confere aos titulares de dados pessoais no Brasil uma série de direitos importantes 
para proteger sua privacidade e liberdade. Esses direitos permitem que você controle seus 
próprios dados e tome decisões informadas sobre como eles são usados. É fundamental 
conhecer esses direitos e saber como exercê-los para garantir que suas informações pessoais 
sejam tratadas de acordo com a lei.
023. 023. (QUADRIX/CRA-PE/ADMINISTRADOR/2023) Julgue o item a seguir.
O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do 
titular por ele tratados, a qualquer momento e mediante requisição, o acesso e a correção 
de dados incompletos, inexatos ou desatualizados.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
43 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
A legislação de proteção de dados em muitos países prevê que os titulares dos dados 
pessoais tenham direito a acessar, corrigir, atualizar ou excluir seus próprios dados quando 
estes estiverem incompletos, inexatos ou desatualizados. O controlador é a entidade ou 
indivíduo que determina os propósitos e meios de processamento de dados pessoais e, 
como tal, é responsável por atender a essas solicitações feitas pelos titulares dos dados.
Certo.
024. 024. (FCC/TRT 4ª REGIÃO-RS/TÉCNICO JUDICIÁRIO-ÁREA ADMINISTRATIVA/2022) Considere 
os seguintes itens:
I – Confirmação da existência de tratamento.
II – Anonimização de dados.
III – Portabilidade dos dados a outro fornecedor de serviço ou produto.
IV – Revogação do consentimento.
Conforme estabelece a Lei Geral de Proteção de Dados Pessoais (LGPD), Lei n. 13.709/2018, 
o titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do 
titular por ele tratados, a qualquer momento e mediante requisição, o que consta em
a) I, III e IV, apenas.
b) II e IV, apenas.
c) I, II, III e IV
d) I, II e III, apenas.
e) I e IV, apenas.
A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei n. 13.709/2018, estabelece diversos 
direitos para os titulares de dados pessoais em relação ao tratamento desses dados por 
controladores. Vamos analisar os itens:
I – Confirmação da existência de tratamento. Sim, o titular tem o direito de confirmar se 
o controlador está tratando seus dados pessoais.
II – Anonimização de dados. Embora a anonimização de dados não seja um direito explícito 
do titular como o de apagar seus dados, a anonimização é uma ferramenta mencionada na 
LGPD que os controladores podem usar para proteger os dados dos titulares.
III – Portabilidade dos dados a outro fornecedor de serviço ou produto. Sim, a LGPD estabelece 
que o titular tem o direito de solicitar a portabilidade de seus dados a outro fornecedor.
IV – Revogação do consentimento. Sim, a qualquer momento e mediante manifestação expressa, 
o titular pode revogar seu consentimento, sendo os efeitos dessa revogação não retroativos.
Letra c.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
44 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
025. 025. (QUADRIX/CRO-MS/ANALISTA ADMINISTRATIVO/2023) Considerando as disposições 
da Lei Geral de Proteção de Dados Pessoais (LGPD), julgue o item abaixo.
A defesa dos interesses e dos direitos dos titulares de dados poderá ser exercida em juízo, 
individual ou coletivamente, na forma do disposto na legislação pertinente, acerca dos 
instrumentos de tutela individual e coletiva.
A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei n. 13.709/2018, em seu Art. 18, § 6º, 
estabelece que:
Art. 18. [...]
§ 6º. Os direitos previstos neste artigo serão exercidos mediante requisição expressa do titular 
ou de representante legalmente constituído a qualquer momento, mediante requerimento 
dirigido ao controlador.
Já o Art. 81 da LGPD menciona o seguinte:
Art. 81. A defesa dos interesses e dos direitos referidos nos arts. 18 a 21 desta Lei pode ser 
exercida em juízo, individual ou coletivamente, de acordo com o disposto na legislação pertinente, 
acerca dos instrumentos de tutela individual e coletiva.
Assim, o titular dos dados pessoais ou seu representante legal pode, sim, exercer a defesa 
de seus direitos em juízo, de forma individual ou coletiva, conforme estabelecido na 
legislação pertinente.
Certo.
Do TraTamenTo De DaDoS PeSSoaiS PeLo PoDer PÚBLicoDo TraTamenTo De DaDoS PeSSoaiS PeLo PoDer PÚBLico
A Lei Geral de Proteção de Dados (LGPD) do Brasil impõe regras rigorosas para o tratamento 
de dados pessoais, inclusive pelo Poder Público. O Artigo 23 e os subsequentes da LGPD 
estabelecem diretrizes específicas para garantir a proteção de dados quando esses são 
tratados por órgãos governamentais e empresas públicas. Neste guia, vamos explorar essas 
regras de forma didática e prática.
Artigo 23 – Tratamento de Dados por Pessoas Jurídicas de Direito Público
Este artigo se concentra no tratamento de dados pessoais pelas pessoas jurídicas de 
direito público, como órgãos governamentais. Vamos desdobrar as principais obrigações 
e considerações.
I – Informação e Transparência
O Artigo 23 exige que os órgãos públicos informem quando e como estão tratando dados 
pessoais em suas competências. Isso significa que eles devem disponibilizar informações 
claras e atualizadas sobre:
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição,sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
45 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
• a previsão legal que permite o tratamento dos dados;
• a finalidade do tratamento;
• os procedimentos envolvidos;
• as práticas utilizadas na execução dessas atividades.
Isso deve ser feito em canais de fácil acesso, de preferência em seus sites oficiais.
EXEMPLO
Vamos dar um exemplo prático: se um órgão público coleta dados para emitir carteiras de 
identidade, ele deve informar por que está fazendo isso, como os dados serão usados e como 
as pessoas podem acessar ou corrigir esses dados.
II – Nomeação de Encarregado
Quando os órgãos públicos realizam operações de tratamento de dados pessoais, eles 
devem nomear um encarregado, também conhecido como Data Protection Officer (DPO). 
Essa pessoa é responsável por garantir a conformidade com a LGPD no tratamento de 
dados. É como um “guardião” dos dados dentro do órgão público.
§ 1º. Formas de Publicidade das Operações de Tratamento
A autoridade nacional pode determinar como essas operações de tratamento devem 
ser divulgadas publicamente. Isso pode incluir requisitos específicos para a divulgação das 
atividades de tratamento de dados.
§ 2º. Cumprimento da Lei de Acesso à Informação
Os órgãos públicos devem cumprir simultaneamente as regras da LGPD e da Lei de 
Acesso à Informação (Lei n. 12.527/2011), que regula o acesso a informações públicas. 
Isso significa que, além de proteger os dados pessoais, eles devem fornecer acesso às 
informações públicas solicitadas pelos cidadãos.
§ 3º. Prazos e Procedimentos para Exercício de Direitos
Os prazos e procedimentos para que os cidadãos exerçam seus direitos em relação 
ao Poder Público devem seguir a legislação específica, como a Lei do Habeas Data, a Lei 
Geral do Processo Administrativo e a própria Lei de Acesso à Informação. Por exemplo, se 
você deseja acessar seus dados mantidos por um órgão público, deve seguir os prazos e 
procedimentos definidos por essas leis.
§ 4º. Serviços Notariais e de Registro
Os serviços notariais e de registro, mesmo sendo exercidos em caráter privado por 
delegação do Poder Público, devem seguir as mesmas regras que os órgãos públicos em 
relação ao tratamento de dados pessoais. Isso garante a uniformidade na proteção dos 
dados, independentemente de quem os esteja tratando.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
46 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
§ 5º. Fornecimento de Acesso Eletrônico para a Administração Pública
Os órgãos notariais e de registro devem fornecer acesso eletrônico às informações 
pessoais para a administração pública, considerando as finalidades do tratamento, como 
a execução de políticas públicas.
Artigo 24 – Empresas Públicas e Sociedades de Economia Mista
Este artigo trata das empresas públicas e sociedades de economia mista que operam 
em regime de concorrência, ou seja, aquelas que competem no mercado. Elas devem seguir 
as mesmas regras que as empresas privadas no que diz respeito ao tratamento de dados 
pessoais. No entanto, quando essas empresas estiverem operacionalizando políticas públicas, 
elas devem seguir as regras aplicáveis ao Poder Público.
Artigo 25 – Formato Interoperável para Uso Compartilhado
Os dados pessoais mantidos pelo Poder Público devem ser estruturados de forma 
interoperável para facilitar o compartilhamento de informações. Isso é importante para 
a execução de políticas públicas, prestação de serviços públicos, descentralização de 
atividades governamentais e para tornar as informações acessíveis ao público em geral. 
Analogicamente, é como se os dados fossem peças de um quebra-cabeça que podem ser 
facilmente combinadas para formar uma imagem completa.
Artigo 26 – Uso Compartilhado com Finalidades Específicas
O uso compartilhado de dados pessoais pelo Poder Público deve ter finalidades específicas 
relacionadas à execução de políticas públicas e atribuições legais dos órgãos públicos. Isso 
significa que os dados não podem ser compartilhados indiscriminadamente, mas apenas 
para fins bem definidos, e deve haver uma justificativa legal para isso.
§ 1º. Transferência para Entidades Privadas
O Poder Público não pode transferir dados pessoais para entidades privadas, a menos que 
haja uma base legal específica para isso. Essa transferência deve ser restrita a finalidades 
específicas, como a execução descentralizada de atividades públicas.
§ 2º. Comunicação de Contratos e Convênios
Os contratos e convênios que envolvem a transferência de dados pessoais para entidades 
privadas devem ser comunicados à autoridade nacional. Isso garante a transparência nas 
operações de tratamento de dados.
Artigo 27 – Comunicação ou Uso Compartilhado com Consentimento do Titular
O uso compartilhado de dados pessoais de pessoa jurídica de direito público por 
entidades privadas requer o consentimento do titular dos dados, a menos que haja exceções 
previstas na LGPD.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
47 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
026. 026. (FUNDATEC/SPGG-RS/ANALISTA DE PLANEJAMENTO, ORÇAMENTO E GESTÃO/2022) A 
Lei Geral de Proteção de Dados Pessoais (Lei n. 13.709/2018), conhecida como LGPD, dispõe 
sobre o tratamento de dados pessoais e contém normas que devem ser seguidas pela União, 
Estados, Distrito Federal e Municípios. Em relação à LGPD, é INCORRETO afirmar que:
a) Possui um capítulo específico para o tratamento de dados pelo Setor Público.
b) Estabelece que as atividades de tratamento de dados pessoais deverão observar princípios 
de: finalidade; adequação; necessidade; livre acesso; qualidade dos dados; transparência; 
segurança; prevenção; não discriminação; responsabilização e prestação de contas.
c) Tem entre seus fundamentos o respeito à privacidade.
d) As sanções administrativas previstas entraram em vigor na publicação da Lei.
e) O tratamento de dados pessoais poderá ser realizado pela administração pública, para 
o tratamento e uso compartilhado de dados necessários à execução de políticas públicas 
previstas em leis.
a) Certa. A LGPD possui um capítulo específico (Capítulo IV) dedicado ao tratamento de 
dados pessoais realizado pelo poder público, estabelecendo as particularidades e condições 
para esse tipo de tratamento.
b) Certa. O Art. 6º da LGPD lista esses princípios que devem ser observados no tratamento 
de dados pessoais.
c) Certa. O Art. 2º da LGPD lista os fundamentos da lei e o respeito à privacidade é um deles.
d) Errada. As sanções administrativas entraram em vigor em agosto de 2021, após alguns 
adiamentos na data de entrada em vigor. Portanto, as sanções não entraram em vigor 
imediatamente com a publicação da lei.
e) Certa. O Art. 23 da LGPD estabelece que o tratamento de dados pessoais realizado pelo 
poder público deve ser feito para a execução de políticas públicas ou atribuição legal do 
serviço público, respeitando os princípios e condições previstos na lei.
Letra d.
027. 027. (CESPE-CEBRASPE/TELEBRAS/ESPECIALISTA EM GESTÃO DE TELECOMUNICAÇÕES-
ANALISTA DE TI/2022) Considerando as disposições da Lei Geral de Proteção de Dados 
Pessoais (LGPD), julgue o item que se segue.Em regra, a comunicação ou o uso compartilhado de dados pessoais de pessoa jurídica de 
direito público a pessoa de direito privado será informado à autoridade nacional e dependerá 
de consentimento do titular.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
48 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
Segundo a LGPD:
Consentimento: o consentimento é uma das bases legais mais discutidas na LGPD e é um 
dos principais mecanismos para a realização de tratamento de dados pessoais. No entanto, 
quando se trata do setor público, a LGPD estabelece que o tratamento de dados pode ser 
realizado sem o consentimento do titular em algumas situações, principalmente quando o 
tratamento é necessário para a execução de políticas públicas ou atribuição legal do serviço 
público, conforme previsto no artigo 23 da lei.
Comunicação de dados a entidades privadas: a LGPD, em seu artigo 26, estabelece que a 
comunicação ou o uso compartilhado de dados pessoais pelo poder público deve atender 
a finalidades específicas de execução de políticas públicas e atribuição legal pelo serviço 
público. O compartilhamento de dados entre entidades públicas e privadas deve observar 
essas finalidades e ser feito de acordo com os princípios e diretrizes estabelecidos pela LGPD.
Notificação à autoridade nacional: de fato, em certos casos de uso compartilhado de 
dados, a LGPD estabelece que a operação seja informada à Autoridade Nacional de Proteção 
de Dados (ANPD).
Certo.
Da reSPonSaBiLiDaDeDa reSPonSaBiLiDaDe
A Lei Geral de Proteção de Dados (LGPD) do Brasil não apenas estabelece regras para o 
tratamento de dados pessoais como prevê mecanismos de fiscalização e monitoramento 
para garantir a conformidade. Os artigos 31 e 32 da LGPD tratam especificamente desse 
aspecto, permitindo à autoridade nacional agir em casos de infração e estabelecendo 
diretrizes para aprimorar a proteção de dados no setor público. Neste guia, iremos explorar 
esses artigos de forma didática e prática.
Artigo 31 – Medidas Cabíveis em Caso de Infração
Este artigo da LGPD lida com as ações a serem tomadas quando ocorre uma infração 
à lei no tratamento de dados pessoais por órgãos públicos. Vamos analisar as principais 
implicações e medidas cabíveis.
Imagine que um órgão público tenha coletado e processado informações pessoais de 
cidadãos de forma inadequada, violando as disposições da LGPD. Isso pode incluir a coleta 
excessiva de dados sem consentimento ou o uso indevido dessas informações. Quando 
essa infração ocorre, a autoridade nacional, que é o órgão responsável pela fiscalização da 
LGPD, pode tomar medidas corretivas.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
49 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
Medidas Cabíveis
Notificação: a autoridade nacional pode notificar o órgão público responsável pela 
infração e informar sobre a violação da LGPD.
Recomendações e Orientações: além da notificação, a autoridade nacional pode fornecer 
recomendações e orientações para que o órgão público corrija a violação e se ajuste às 
regras da LGPD.
Prazos para Correção: a autoridade nacional pode estabelecer prazos para que o órgão 
público tome medidas corretivas e interrompa a violação da lei.
Sanções: em casos graves e persistentes de infração, a LGPD permite que a autoridade 
nacional imponha sanções, como multas diárias, ao órgão público infrator. Essas sanções 
são aplicadas com base na gravidade da infração e podem ser significativas para garantir 
a conformidade com a lei.
Segundo o art. 52, os agentes de tratamento de dados, em razão das infrações cometidas 
às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis 
pela autoridade nacional:
I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de 
direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os 
tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração;
VII – (VETADO);
VIII – (VETADO);
IX – (VETADO).
X – suspensão parcial do funcionamento do banco de dados a que se refere a infração 
pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização 
da atividade de tratamento pelo controlador;
XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se 
refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Artigo 32 – Publicação de Relatórios de Impacto e Padrões de Boas Práticas
Este artigo enfoca a importância da transparência e melhoria contínua no tratamento de 
dados pessoais pelo Poder Público. Ele permite que a autoridade nacional solicite a agentes 
do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e 
sugira a adoção de padrões e boas práticas. Vamos explorar esses conceitos:
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
50 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
Relatórios de Impacto à Proteção de Dados (DPIA)
Imagine que um órgão público está planejando implementar um novo sistema de 
informações que envolve o tratamento de dados pessoais, como registros médicos de 
pacientes em hospitais públicos. Antes de implementar esse sistema, eles podem ser 
solicitados a realizar um Relatório de Impacto à Proteção de Dados (DPIA).
DPIA: esse relatório avalia como o tratamento de dados afetará a privacidade e a 
segurança dos dados dos cidadãos. Ele identifica riscos, medidas de mitigação e garante 
que o tratamento seja realizado de forma compatível com a LGPD.
PaDrÕeS e BoaS PrÁTicaSPaDrÕeS e BoaS PrÁTicaS
A autoridade nacional também pode sugerir a adoção de padrões e boas práticas para 
o tratamento de dados pessoais pelo Poder Público. Isso pode incluir a implementação de 
protocolos de segurança de dados, treinamento de pessoal sobre proteção de dados e a 
adoção de tecnologias de anonimização de dados.
EXEMPLO
Analogia: Pintando uma Casa
Imagine que um órgão público é como um empreiteiro encarregado de pintar uma casa, e os 
dados pessoais são as cores que ele está usando. Se ele pinta a casa de uma cor que não foi 
acordada com o proprietário (cidadão) ou não prepara adequadamente a superfície antes 
de pintar (não protege a privacidade dos dados), isso é uma infração. A autoridade nacional 
age como um supervisor que verifica o trabalho e pode exigir correções, como repintar a 
casa da maneira correta. Além disso, a autoridade nacional pode sugerir usar as melhores 
tintas e técnicasdisponíveis (padrões e boas práticas) para garantir que a casa seja pintada 
corretamente e que a pintura dure.
Os Artigos 31 e 32 da LGPD desempenham um papel fundamental na fiscalização, 
monitoramento e melhoria contínua da conformidade do Poder Público com a proteção 
de dados pessoais. Eles asseguram que, quando ocorrer uma infração, medidas adequadas 
sejam tomadas para proteger os direitos dos cidadãos e garantir que os órgãos públicos 
atuem em conformidade com a lei. Além disso, promovem a transparência e a adoção de 
boas práticas no tratamento de dados pelo Poder Público, garantindo que a privacidade e 
a segurança dos dados sejam priorizadas.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
51 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
028. 028. (IDECAN/SEFAZ-RR/TÉCNICO EM INFRAESTRUTURA DE TECNOLOGIA DA INFORMA-
ÇÃO/2023) Caso ocorra infração às normas contidas na Lei Geral de Proteção de Dados 
(LGPD), a autoridade nacional poderá aplicar a seguinte sanção:
a) admoestação sigilosa.
b) prisão simples.
c) declaração de inidoneidade.
d) multa diária.
e) recolhimento domiciliar.
a) Errada. A LGPD prevê a possibilidade de aplicação de uma “admoestação”, ou seja, um 
aviso para que a empresa corrija sua conduta. No entanto, a lei não especifica que essa 
admoestação seja “sigilosa”.
b) Errada. A LGPD é uma lei que prevê sanções administrativas, e não penais. Portanto, não 
contempla a possibilidade de prisão como consequência direta de sua violação.
c) Errada. Embora existam legislações que preveem a declaração de inidoneidade para 
empresas que cometem certos tipos de infrações (especialmente em relação a contratos 
com o poder público), a LGPD não estabelece essa sanção especificamente.
d) Certa. De acordo com o art. 52 da LGPD, as infrações às normas previstas na lei estão 
sujeitas, de acordo com a gravidade da infração, a várias sanções administrativas, dentre 
as quais está incluída a “multa diária”, além de uma multa simples que pode chegar a 2% 
do faturamento da empresa infratora, limitada, no total, a R$ 50.000.000,00 por infração.
e) Errada. Assim como a prisão simples, o recolhimento domiciliar é uma penalidade de 
natureza criminal, e a LGPD é uma legislação de caráter administrativo. Portanto, não prevê 
sanções de natureza penal como o recolhimento domiciliar.
Letra d.
029. 029. (FUNDAT/CSPGG – RS/ANALISTA DE PLANEJAMENTO, ORÇAMENTO E GESTÃO/2022) De 
acordo com a LGPD (Lei Federal n. 13.709/2018), os agentes de tratamento de dados, em 
razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes 
sanções administrativas aplicáveis pela autoridade nacional:
• Advertência.
• Multa simples.
• Multa diária.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
52 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
• Publicização da infração.
• Bloqueio dos dados pessoais.
Com relação às sanções administrativas previstas pela LGPD, qual o valor máximo a ser 
aplicado para uma multa simples?
a) R$ 30.000,00.
b) R$ 70.000,00.
c) R$ 10.000.000,00.
d) R$ 50.000.000,00.
e) A Lei não estabelece valor máximo para multas simples.
Conforme estabelecido no art. 52, II, da LGPD, as infrações às normas contidas na Lei 
estão sujeitas a sanções administrativas, dentre as quais está incluída a “multa simples”, 
que pode ser de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou 
conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a 
R$ 50.000.000,00 (cinquenta milhões de reais) por infração.
Letra d.
030. 030. (FCC/TRT 4ª REGIÃO-RS/ANALISTA JUDICIÁRIO-ÁREA JUDICIÁRIA/2022) Considere as 
seguintes sanções administrativas:
I – advertência.
II – multa simples.
III – multa diária.
IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência.
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização.
VI – eliminação dos dados pessoais a que se refere a infração.
VII – suspensão parcial do funcionamento do banco de dados a que se refere a infração.
VIII – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere 
a infração.
IX – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Nos termos da Lei Geral de Proteção de Dados Pessoais (LGPD), Lei n. 13.709/2018, no 
que concerne às sanções administrativas a que se sujeitam os agentes de tratamento de 
dados, é correto afirmar que
a) a condição econômica do infrator não é parâmetro nem critério para a aplicação das 
sanções constantes dos itens II e III.
b) as sanções constantes dos itens VII e VIII estão limitadas pelo período máximo de seis 
meses, improrrogável.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
53 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
c) as multas simples e diárias estão limitadas no total, a cinquenta milhões de reais, 
consideradas todas as infrações.
d) as sanções previstas nos itens II, III, IV, V e VI somente podem ser aplicadas após já ter 
sido imposta ao menos uma das sanções de que tratam os itens VII, VIII e IX.
e) as sanções previstas nos itens I, IV, V, VI, VII, VIII e IX poderão ser aplicadas às entidades 
e aos órgãos públicos.
a) Errada. O valor da multa (tanto simples quanto diária) pode considerar a condição 
econômica do infrator. De acordo com o art. 52, II, da LGPD, a multa pode ser de até 2% 
do faturamento da pessoa jurídica, excluídos os tributos, evidenciando a consideração da 
condição econômica da empresa infratora.
b) Errada. O art. 52, parágrafo 2º, estipula que as sanções de suspensão e proibição de 
atividades (como as indicadas nos itens VII e VIII) podem ser aplicadas pelo período máximo 
de 6 meses, podendo ser prorrogadas por igual período até a regularização da atividade de 
tratamento pelo controlador.
c) Errada. A multa, tanto simples quanto diária, tem um limite de até R$ 50.000.000,00 
(cinquenta milhões de reais) por infração, conforme art. 52, II e III. Portanto, a limitação 
de cinquenta milhões de reais não é considerando “todas as infrações”, mas “por infração”.
d) Errada. A LGPD não estabelece uma ordem sequencial obrigatória para a aplicação das 
sanções. A autoridade nacional tem a discricionariedade de determinar a sanção apropriada 
com base nas circunstâncias específicas de cada caso.
e) Certa. o Art. 52 da LGPD estabelece as sanções administrativas que podem ser aplicadas em 
caso de violações às disposições da lei. A alternativa E é a correta por abordar corretamente 
a aplicabilidade de algumas sanções a entidades e órgãos públicos, de acordo com o 
parágrafo 3º desse mesmo artigo.
Letra e.
Da TranSferÊncia inTernacionaL De DaDoSDa TranSferÊncia inTernacionaL De DaDoS
A Lei Geral de Proteção de Dados (LGPD) do Brasil estabelece diretrizes claras para a 
transferência internacional de dados pessoais. O artigo 33 da LGPD especifica as condições 
nas quais a transferência de dados pessoais para países estrangeirosou organizações 
internacionais é permitida. Além disso, o artigo 34 aborda como a autoridade nacional 
avalia o nível de proteção de dados nos países de destino. Neste guia, abordaremos esses 
artigos de forma didática, utilizando exemplos e analogias para facilitar a compreensão.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
54 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
Artigo 33 – Condições para Transferência Internacional de Dados
O Artigo 33 estabelece as condições sob as quais a transferência internacional de dados 
pessoais é permitida. Vamos explorar cada uma delas:
I – Grau Adequado de Proteção
Imagine que você tem uma coleção valiosa de selos e deseja enviá-la para outro país. 
Antes de fazer isso, você precisa ter certeza de que o país de destino possui um sistema de 
segurança adequado para proteger seus selos. Da mesma forma, o artigo 33 da LGPD exige 
que os dados pessoais só podem ser transferidos para países ou organizações internacionais 
que proporcionem um grau adequado de proteção de dados pessoais, sem comprometer 
a privacidade e a segurança dos titulares.
II – Garantias de Cumprimento
Se você decidir enviar seus selos para outro colecionador em outro país, é fundamental 
garantir que seus selos cheguem com segurança. Isso se aplica à transferência de dados 
pessoais. O controlador dos dados deve oferecer e comprovar garantias de cumprimento 
dos princípios e direitos dos titulares previstos na LGPD. Isso pode ser feito por meio de 
cláusulas contratuais específicas, cláusulas-padrão contratuais, normas corporativas 
globais, selos, certificados e códigos de conduta.
III – Necessidade Legal ou de Proteção
Às vezes, a transferência internacional de dados é necessária para cooperar em 
investigações internacionais ou para proteger vidas. Imagine que um criminoso fuja para 
outro país e a cooperação internacional seja necessária para capturá-lo. Nesses casos, a 
transferência é permitida para cooperação jurídica internacional entre órgãos públicos.
IV – Autorização da Autoridade Nacional
A autoridade nacional desempenha um papel importante na supervisão da transferência 
internacional de dados. Ela pode autorizar a transferência quando necessário e apropriado.
V – Consentimento do Titular
Assim como você pode escolher enviar seus selos a outro colecionador, os titulares de 
dados pessoais podem consentir especificamente na transferência de seus dados para o 
exterior. Esse consentimento deve ser informado e destacado, para que os titulares saibam 
que seus dados estão sendo transferidos internacionalmente.
VI – Hipóteses do Artigo 7º
O Artigo 7º da LGPD estabelece as hipóteses em que o tratamento de dados é permitido. 
Se a transferência internacional de dados for necessária para atender a essas hipóteses, 
ela é permitida.
Artigo 34 – Avaliação do Nível de Proteção de Dados
O Artigo 34 descreve como a autoridade nacional avalia o nível de proteção de dados nos 
países estrangeiros ou organizações internacionais de destino. Isso é crucial para garantir 
que os dados pessoais dos cidadãos brasileiros sejam adequadamente protegidos.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
55 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
Critérios de Avaliação
• Legislação Vigente: a autoridade nacional avalia as leis de proteção de dados em vigor 
no país de destino ou na organização internacional.
• Natureza dos Dados: a natureza dos dados pessoais em questão também é levada 
em consideração. Informações sensíveis podem exigir maior proteção.
• Princípios Gerais de Proteção de Dados: a autoridade verifica se os princípios gerais 
de proteção de dados previstos na LGPD estão sendo respeitados.
• Medidas de Segurança: a existência de medidas de segurança adequadas para proteger 
os dados é essencial.
• Garantias Judiciais e Institucionais: a autoridade nacional observa se há garantias 
judiciais e institucionais para proteger os direitos dos titulares.
Os Artigos 33 e 34 da LGPD estabelecem diretrizes importantes para a transferência 
internacional de dados pessoais. Eles visam garantir que os dados dos cidadãos brasileiros 
sejam protegidos adequadamente, mesmo quando transferidos para o exterior. Ao seguir 
essas regras e critérios de avaliação, a LGPD promove a privacidade e a segurança dos 
dados pessoais em um contexto global, protegendo os direitos dos titulares e facilitando 
a cooperação internacional quando necessário.
031. 031. (FEPESE/PREF. BALNEÁRIO CAMBORIÚ-SC/PROCURADOR DO MUNICÍPIO/2023) Assinale 
a alternativa correta com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13.709/2018).
a) O encarregado deverá indicar controlador para o tratamento de dados pessoais.
b) A Lei de Proteção também se aplica ao tratamento de dados pessoais realizado para fins 
exclusivamente jornalístico e artísticos.
c) Considera-se dado pessoal sensível a informação relacionada à pessoa natural identificada 
ou identificável.
d) A disciplina da proteção de dados pessoais tem como fundamentos, dentre outros, a 
autodeterminação informativa e a exposição da privacidade.
e) A transferência internacional de dados pessoais é permitida quando resultar em 
compromisso assumido em acordo de cooperação internacional.
a) Errada. O encarregado, na verdade, é a figura indicada pelo controlador para fazer a 
ligação entre este, os titulares e a ANPD. O encarregado não indica um controlador.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
56 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
b) Errada. A LGPD prevê exceções quanto ao tratamento de dados pessoais para fins 
exclusivamente jornalísticos, artísticos ou acadêmicos.
c) Errada. A LGPD distingue “dado pessoal” de “dado pessoal sensível”, sendo este último 
relacionado a informações mais delicadas, como origem racial, convicções religiosas e dados 
biométricos.
d) Errada. Enquanto a autodeterminação informativa é um dos fundamentos da LGPD, “a 
exposição da privacidade” não é. A lei, na verdade, busca proteger a privacidade.
e) Certa. A LGPD permite a transferência internacional de dados pessoais em diversas 
circunstâncias, incluindo quando resulta de um compromisso assumido em acordo de 
cooperação internacional.
Letra e.
032. 032. (INSTITUTO AOCP/MJSP/CIENTISTA DE DADOS-BIG DATA/2020) Segundo a Lei n. 
13.709/2018, de Proteção de Dados, a transferência internacional de dados pessoais é 
permitida nas seguintes situações, EXCETO
a) para países ou organismos internacionais que proporcionem grau de proteção de dados 
pessoais adequado ao previsto na Lei específica.
b) quando a autoridade nacional autorizar a transferência.
c) quando a transferência for necessária para a proteção da vida ou da incolumidade física 
do titular ou de terceiro.
d) quando o titular tiver fornecido o seu consentimento específico e em destaque para a 
transferência, com informação prévia sobre o caráter internacional da operação, distinguindo 
claramente esta de outras finalidades.
e) quandoa transferência for necessária para a cooperação jurídica internacional entre órgãos 
públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos 
de direito internos.
a) Certa. A LGPD permite a transferência de dados para países ou organismos que proporcionem 
um grau de proteção de dados adequado ao estabelecido pela lei.
b) Certa. A ANPD pode autorizar a transferência de dados sob certas condições, conforme 
a legislação.
c) Certa. A proteção da vida ou da incolumidade física do titular ou de terceiro é uma das 
bases legais para tratamento de dados, o que inclui sua transferência internacional.
d) Certa. O consentimento do titular é uma das bases legais para a transferência internacional, 
desde que ele seja informado sobre a natureza internacional da operação.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
57 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
e) Errada. A LGPD menciona a cooperação jurídica internacional entre órgãos públicos 
de investigação e persecução, mas não especifica órgãos de inteligência, tornando essa 
alternativa incorreta em relação ao texto da lei.
Letra e.
033. 033. (QUADRIX/CRECI 14ª REGIÃO-MS/ADVOGADO/2021) A Lei Geral de Proteção de dados 
dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, com o objetivo de 
proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento 
da personalidade da pessoa natural. Com relação às disposições legais contidas no referido 
ato normativo, julgue o item.
A transferência internacional de dados pessoais só é admitida na legislação pátria quando 
a transferência for necessária para a proteção da vida ou da incolumidade física do titular 
ou de terceiros.
A LGPD lista várias outras circunstâncias em que a transferência internacional de dados 
pessoais pode ocorrer, incluindo:
I – Quando o país ou organismo internacional de destino oferecer grau de proteção de dados 
adequado ao previsto na LGPD.
II – Quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, 
dos direitos do titular e do regime de proteção de dados previstos na LGPD.
III – Quando o titular tiver fornecido consentimento específico para a transferência, com 
informação prévia sobre o caráter internacional da operação.
IV – Quando a transferência for necessária para a execução de contrato ou procedimentos 
preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados.
V – Entre outras situações previstas na legislação.
Errado.
034. 034. (QUADRIX/CREFITO 7ª REGIÃO-BA E SE/ASSESSOR(A) JURÍDICO/2023) Com base na Lei 
n. 13.709/2018, julgue o item.
O uso compartilhado de dados consiste na comunicação, na difusão, na transferência 
internacional, na interconexão de dados pessoais ou no tratamento compartilhado de 
bancos de dados pessoais por órgãos e por entidades públicas, no cumprimento de suas 
competências legais, ou entre esses e entes privados, reciprocamente, com autorização 
específica, para uma ou mais modalidades de tratamento permitidas por esses entes 
públicos ou entre entes privados.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
58 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
De acordo com a LGPD, o uso compartilhado de dados pessoais por órgãos e entidades 
públicas é permitido e tem como finalidade o cumprimento de suas competências legais.
O uso compartilhado de dados entre órgãos e entidades públicas e entre estes e entes 
privados é permitido, desde que haja autorização específica.
Além disso, a definição abrange diversas modalidades de tratamento e compartilhamento, 
incluindo comunicação, difusão, transferência internacional, interconexão de dados, e o 
tratamento compartilhado de bancos de dados pessoais.
Certo.
035. 035. (OBJETIVA/CONDESUS-RS/ASSESSOR JURÍDICO/2022) De acordo com a Lei n. 
13.709/2018 – LGPD, é permitido ao Poder Público transferir a entidades privadas dados 
pessoais constantes de bases de dados a que tenha acesso:
I – Nos casos em que os dados forem acessíveis publicamente, dispensadas outras 
formalidades legais.
II – Quando houver previsão legal ou a transferência for respaldada em contratos, convênios 
ou instrumentos congêneres.
III – Na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de 
fraudes e irregularidades ou proteger e resguardar a segurança e a integridade do titular 
dos dados, desde que vedado o tratamento para outras finalidades.
Estão CORRETOS:
a) Somente os itens I e II.
b) Somente os itens I e III.
c) Somente os itens II e III.
d) Todos os itens.
Vamos analisar cada item:
I – Errado. A LGPD não determina que o mero fato de dados serem publicamente acessíveis 
permite sua transferência a entidades privadas sem outras formalidades. O tratamento de 
dados pessoais deve sempre atender aos princípios e finalidades previstos na lei.
II – Certo. A LGPD permite a transferência de dados pessoais quando houver uma previsão legal 
ou quando a transferência for fundamentada em contratos ou instrumentos semelhantes.
III – Certo. A LGPD reconhece situações em que a transferência de dados é necessária para 
proteger o titular dos dados ou para prevenir fraudes e irregularidades, sempre observando 
que o uso dos dados deve estar limitado a essas finalidades.
Letra c.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
59 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
036. 036. (CESPE-CEBRASPE/BANESE/TÉCNICO BANCÁRIO III-INFORMÁTICA- DESENVOLVIMEN-
TO/2021) Acerca do sigilo bancário, da proteção de dados pessoais e do marco civil da 
Internet, julgue o item que se segue.
Se a operação de tratamento de dados pessoais for realizada no território nacional, aplica-
se a Lei Geral de Proteção de Dados Pessoais (LGPD), ainda que realizada por pessoa jurídica 
sediada em outro país.
O item está correto e em consonância com a Lei Geral de Proteção de Dados Pessoais 
(LGPD), Lei n. 13.709/2018. A LGPD estabelece, em seu artigo 3º, as situações em que a 
lei será aplicável, e isso inclui operações de tratamento de dados realizadas no território 
nacional, independentemente da localização ou da nacionalidade da pessoa jurídica 
responsável pelo tratamento.
Especificamente, o artigo 3º da LGPD dispõe que a lei se aplica:
Art. 3º. [...]
I – à operação de tratamento realizada no território nacional;
II – à atividade de tratamento que tenha por objetivo a oferta ou o fornecimento de bens ou 
serviços ou o tratamento de dados de indivíduos localizados no território nacional;
III – à atividade de tratamento de dados pessoais cujos titulares estejam localizados no território 
nacional, quando a atividade de tratamento for realizada por pessoa natural ou por pessoa 
jurídica domiciliada no exterior, desde que haja alguma operação de tratamento de dados em 
território brasileiro.
Isso significa que mesmo uma empresa sediada no exterior, se estiver tratando dados no 
Brasil, estará sujeita às disposições da LGPD.Essa abordagem é fundamental para garantir 
a proteção dos dados pessoais dos titulares brasileiros, independentemente da origem ou 
da localização da entidade que trata os dados.
Certo.
DoS aGenTeS De TraTamenTo De DaDoS PeSSoaiSDoS aGenTeS De TraTamenTo De DaDoS PeSSoaiS
A Lei Geral de Proteção de Dados (LGPD) do Brasil estabelece regras e responsabilidades 
claras para o tratamento de dados pessoais. Os Artigos 37 a 40 da LGPD delineiam os papéis 
do controlador e do operador, bem como a importância de se manter registros e relatórios 
de impacto à proteção de dados. Neste guia, vamos explorar esses artigos de forma didática, 
utilizando exemplos e analogias para tornar mais fácil entender as responsabilidades desses 
atores no contexto da proteção de dados pessoais.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
60 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
Artigo 37 – Registro das Operações de Tratamento
O Artigo 37 da LGPD estabelece a obrigação tanto do controlador quanto do operador de 
manterem registros das operações de tratamento de dados pessoais. Isso é especialmente 
importante quando o tratamento se baseia no legítimo interesse. Vamos analisar essa 
obrigação com um exemplo:
EXEMPLO
Imagine que você é o gerente de um armazém de alimentos. Você, como controlador, coleta 
informações pessoais dos seus clientes para fazer entregas de produtos. Também contratou 
uma empresa de logística (operador) para ajudar com as entregas. De acordo com a LGPD, 
tanto você (controlador) quanto a empresa de logística (operador) precisam manter registros 
detalhados de todas as entregas e do tratamento dos dados pessoais dos clientes, garantindo 
que tudo esteja em conformidade com a lei.
Artigo 38 – Relatório de Impacto à Proteção de Dados
O Artigo 38 destaca que a autoridade nacional pode exigir que o controlador prepare um 
relatório de impacto à proteção de dados pessoais, incluindo dados sensíveis. Esse relatório 
deve detalhar as operações de tratamento de dados. Vamos ilustrar essa exigência com 
um exemplo:
EXEMPLO
Suponha que você seja o diretor de uma clínica médica e seja responsável pelo tratamento de 
dados de pacientes. A autoridade nacional decide que sua clínica deve preparar um relatório 
de impacto à proteção de dados, considerando a sensibilidade das informações de saúde dos 
pacientes. Esse relatório deve incluir a descrição dos tipos de dados coletados (históricos 
médicos, informações de contato etc.), a metodologia usada para coletar e garantir a segurança 
das informações (criptografia, acesso restrito etc.) e uma análise das medidas de segurança 
e mitigação de riscos adotadas.
Artigo 39 – Responsabilidades do Operador
O Artigo 39 da LGPD estabelece que o operador deve tratar os dados pessoais de acordo 
com as instruções fornecidas pelo controlador. O controlador, por sua vez, deve verificar 
se essas instruções estão sendo seguidas. Para entender melhor essa dinâmica, considere 
o seguinte exemplo:
EXEMPLO
Imagine que você é um editor de uma empresa de mídia e está terceirizando o envio de 
newsletters para uma empresa de marketing por e-mail (operador). Você fornece instruções 
específicas sobre como os dados dos assinantes devem ser tratados, incluindo como coletar 
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
61 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
consentimento para o envio de e-mails. Como controlador, é sua responsabilidade garantir 
que o operador siga suas instruções e cumpra as normas de proteção de dados.
Artigo 40 – Padrões e Regulamentações
O Artigo 40 da LGPD permite que a autoridade nacional estabeleça padrões de 
interoperabilidade para portabilidade, livre acesso aos dados e segurança. Isso é importante 
para garantir que as informações possam ser transferidas de forma segura e eficiente. 
Vamos explorar essa ideia com um exemplo:
EXEMPLO
Pense na portabilidade de dados como a capacidade de mudar seu número de celular e levar 
seus contatos com você. Da mesma forma, a LGPD exige que a autoridade nacional estabeleça 
padrões para garantir que os dados pessoais possam ser transferidos com segurança de um 
serviço para outro, sempre que necessário.
A LGPD define claramente os papéis e responsabilidades do controlador e do operador 
no tratamento de dados pessoais. Ela enfatiza a importância de manter registros, elaborar 
relatórios de impacto à proteção de dados e seguir instruções específicas. Além disso, a lei 
permite que a autoridade nacional estabeleça padrões para garantir a interoperabilidade e 
a segurança dos dados pessoais. Com essas disposições, a LGPD busca proteger os direitos 
dos titulares de dados e promover boas práticas no tratamento de informações pessoais.
037. 037. (CESPE-CEBRASPE/SECONT-ES/AUDITOR DO ESTADO-TECNOLOGIA DA INFORMA-
ÇÃO/2022) Julgue o item a seguir, com relação a sistemas de proteção AntiSpam, a normas 
da NBR ISO/IEC 27005, aos planos de continuidade de negócios e a disposições da Lei Geral 
de Proteção de Dados Pessoais (LGPD).
Conforme definido pela LGPD, o relatório de impacto à proteção de dados pessoais é a 
documentação do controlador que contém a descrição dos processos de tratamento de 
dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, 
bem como medidas, salvaguardas e mecanismos de mitigação de risco.
De acordo com a Lei Geral de Proteção de Dados Pessoais (LGPD), o relatório de impacto 
à proteção de dados pessoais é um elemento crucial quando se trata de processos que 
envolvem riscos ao tratamento de dados pessoais.
Especificamente, o artigo 38 da LGPD estabelece o seguinte:
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
62 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
Art. 38. O controlador deverá elaborar relatório de impacto à proteção de dados pessoais, 
referente a suas operações de tratamento de dados pessoais, nos termos de regulamentação 
da autoridade nacional, observados os segredos comercial e industrial.
A lei destaca que esse relatório contém a descrição dos processos de tratamento de dados 
que possam gerar riscos às liberdades civis e aos direitos fundamentais e as medidas, 
salvaguardas e mecanismos adotados para a mitigação desses riscos.
Certo.
Do encarreGaDo PeLo TraTamenTo De DaDoS Do encarreGaDo PeLo TraTamenTo De DaDoS 
PeSSoaiSPeSSoaiS
A Lei Geral de Proteção de Dados (LGPD) estabelece a figura do encarregado pelo 
tratamento de dados pessoais, também conhecido como Data Protection Officer (DPO). 
Este profissional desempenha um papel crucial na garantia da conformidade com a lei e 
na proteção dos direitos dos titulares dos dados. Neste guia, exploraremos o Artigo 41 
da LGPD, que aborda o encarregado pelo tratamento de dados, fornecendo exemplos e 
analogias para facilitar a compreensão.
Artigo 41 – Indicação do Encarregado
O Artigo 41 da LGPD estipula que o controlador, ou seja, a entidade responsável pelo 
tratamento de dados, deve indicar um encarregado pelo tratamentode dados pessoais. 
Vamos analisar as principais responsabilidades e requisitos do encarregado:
§ 1º. Divulgação Pública
De acordo com o § 1º, a identidade e as informações de contato do encarregado devem 
ser divulgadas publicamente, preferencialmente no site ou sítio eletrônico do controlador. 
Isso garante que os titulares de dados e a autoridade nacional saibam quem é a pessoa 
responsável pela proteção dos dados pessoais na organização.
EXEMPLO
Analogia: imagine que uma empresa tenha um serviço de atendimento ao cliente. O encarregado 
pelo tratamento de dados é como o gerente desse serviço, cujo nome e contato são claramente 
listados no site da empresa. Os clientes sabem a quem recorrer quando têm dúvidas ou 
problemas.
§ 2º. Atividades do Encarregado
As atividades do encarregado, conforme estipulado no § 2º, incluem:
I – Aceitar Reclamações e Comunicações dos Titulares: o encarregado deve estar disponível 
para receber reclamações e comunicações dos titulares de dados, esclarecer dúvidas e 
tomar medidas apropriadas.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
63 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
II – Receber Comunicações da Autoridade Nacional: o encarregado também deve receber 
comunicações da autoridade nacional de proteção de dados e tomar as medidas necessárias 
em resposta a essas comunicações.
III – Orientar Funcionários e Contratados: é responsabilidade do encarregado orientar 
os funcionários e contratados da organização sobre as práticas adequadas de proteção de 
dados pessoais.
IV – Executar Demais Atribuições: o encarregado deve executar outras atribuições 
determinadas pelo controlador ou definidas em normas complementares.
EXEMPLO
Analogia: o encarregado pelo tratamento de dados é como um supervisor de um departamento 
em uma empresa. Ele recebe feedback dos clientes, orienta os funcionários sobre as melhores 
práticas e executa tarefas adicionais conforme necessário.
§ 3º. Normas Complementares
O § 3º da LGPD estabelece que a autoridade nacional pode definir normas complementares 
sobre a definição e as atribuições do encarregado. Isso inclui a possibilidade de dispensar a 
necessidade de indicar um encarregado, dependendo da natureza e do porte da entidade 
ou do volume de operações de tratamento de dados.
EXEMPLO
Uma pequena empresa que lida com poucos dados pessoais pode não ser obrigada a 
nomear um encarregado, de acordo com as normas complementares estabelecidas pela 
autoridade nacional.
O encarregado pelo tratamento de dados pessoais desempenha um papel vital na 
proteção da privacidade e dos direitos dos titulares de dados. Ele atua como um ponto 
de contato importante entre a organização, os titulares de dados e a autoridade nacional 
de proteção de dados. Suas responsabilidades incluem receber reclamações, orientar a 
equipe e garantir que a organização esteja em conformidade com a LGPD. A nomeação do 
encarregado é um passo fundamental para garantir que o tratamento de dados pessoais 
seja feito de maneira ética e legal.
038. 038. (IBFC/PREFEITURA DE CUIABÁ-MT/APOIO JURÍDICO/2023) De acordo com a Lei Geral 
de Proteção de Dados Pessoais (LGPD), assinale a alternativa que apresente o conceito de 
encarregado para os fins da LGPD.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
64 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
a) Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de 
dados pessoais em nome do controlador.
b) Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões 
referentes ao tratamento de dados pessoais.
c) Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre 
o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
d) Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
a) Errada. A alternativa refere-se ao conceito de “operador”, que é aquele que realiza o 
tratamento de dados pessoais em nome do controlador.
b) Errada. Refere-se ao conceito de “controlador”, que é a pessoa natural ou jurídica a quem 
competem as decisões referentes ao tratamento de dados pessoais.
c) Certa. É a definição correta de “encarregado” (também conhecido como DPO – Data 
Protection Officer, em inglês). O encarregado é a pessoa indicada pelo controlador e operador 
para servir como ponto de contato entre o controlador, os titulares dos dados e a Autoridade 
Nacional de Proteção de Dados (ANPD). Sua função é essencial para garantir que as atividades 
de tratamento estejam em conformidade com a LGPD e que haja um canal aberto para 
comunicação sobre questões relacionadas à proteção de dados.
d) Errada. Refere-se ao conceito de “titular”, que é a pessoa natural a quem se referem os 
dados pessoais que são objeto de tratamento.
Letra c.
039. 039. (OBJETIVA/PREF. CARMO DO PARANAÍBA-MG/BIBLIOTECÁRIO/2022) Nos termos da Lei 
n. 13.709/2018 – LGPD, são agentes de tratamento:
I – Controlador. 
II – Operador.
III – Encarregado.
Estão CORRETOS:
a) Todos os itens.
b) Somente os itens I e II.
c) Somente os itens I e III.
d) Somente os itens II e III.
I – Certo. O controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem 
competem as decisões referentes ao tratamento de dados pessoais. Ele é, portanto, um 
agente de tratamento.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
65 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
II – Certo. O operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza 
o tratamento de dados pessoais em nome do controlador. O operador atua conforme as 
instruções do controlador e é considerado um agente de tratamento.
III – Errado. Embora o encarregado desempenhe um papel crucial na LGPD, ele não é 
tecnicamente classificado como um “agente de tratamento” na definição legal. O encarregado, 
também conhecido como DPO (Data Protection Officer), é a pessoa indicada pelo controlador 
para atuar como canal de comunicação entre o controlador, os titulares dos dados e a 
Autoridade Nacional de Proteção de Dados (ANPD).
Letra b.
040. 040. (CESPE-CEBRASPE/TELEBRAS/ESPECIALISTA EM GESTÃO DE TELECOMUNICAÇÕES-
ADMINISTRAÇÃO/2022) A respeito da Lei Geral de Proteção de Dados Pessoais (LGPD), 
julgue o item a seguir.
Segundo a referida lei, considera-se encarregado a pessoa natural ou jurídica, de direito 
público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
A definição está equivocada.
Na Lei Geral de Proteção de Dados Pessoais (LGPD), o “encarregado” é a pessoa indicada 
pelo controlador e operador para atuar como canal de comunicação entre o controlador, 
os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). O papel do 
encarregado, frequentemente referido como DPO (Data Protection Officer), é facilitar a 
comunicação e ajudar a assegurar a conformidade com a LGPD.
Por outro lado, quem “realiza o tratamento de dadospessoais em nome do controlador” é 
chamado de “operador”, e não de encarregado.
Errado.
Da reSPonSaBiLiDaDe e Do reSSarcimenTo De DanoSDa reSPonSaBiLiDaDe e Do reSSarcimenTo De DanoS
A Lei Geral de Proteção de Dados (LGPD) estabelece diretrizes claras sobre a responsabilidade 
e reparação de danos em relação ao tratamento de dados pessoais. Neste guia, exploraremos 
os Artigos 42 a 45 da LGPD, fornecendo exemplos e analogias para ilustrar como essas 
disposições funcionam na prática.
Artigo 42 – Responsabilidade e Reparação de Danos
O Artigo 42 da LGPD aborda a responsabilidade de controladores e operadores no caso 
de causarem danos patrimoniais, morais, individuais ou coletivos devido a violações da 
legislação de proteção de dados pessoais.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
66 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
EXEMPLO
Suponha que uma empresa vazou acidentalmente informações pessoais de seus clientes, 
resultando em danos financeiros para estes, como fraudes em suas contas bancárias.
§ 1º. Solidariedade na Responsabilidade
O § 1º estabelece que o operador responde solidariamente pelos danos causados 
pelo tratamento quando não cumpre as obrigações da LGPD ou não segue as instruções 
lícitas do controlador. Isso significa que tanto o controlador quanto o operador podem ser 
responsabilizados pelos danos.
EXEMPLO
Analogia: Imagine um motorista (operador) dirigindo um carro de propriedade de outra 
pessoa (controlador). Se o motorista não respeitar as regras de trânsito ou as instruções do 
proprietário e causar um acidente, ambos podem ser responsabilizados pelo dano.
§ 2º. Inversão do Ônus da Prova
O § 2º permite que o juiz inverta o ônus da prova a favor do titular dos dados em casos 
cuja alegação de violação seja verossímil, a produção de prova pelo titular seja excessivamente 
onerosa ou haja hipossuficiência para produzir provas.
EXEMPLO
Se um titular de dados alegar que seus dados foram vazados devido a negligência de uma 
empresa, o juiz pode exigir que a empresa prove que adotou medidas adequadas de segurança.
§ 3º. Ações Coletivas de Reparação de Danos
O § 3º permite que ações de reparação por danos coletivos sejam exercidas em juízo, de 
acordo com a legislação pertinente. Isso significa que grupos de titulares de dados afetados 
podem buscar reparação conjuntamente.
EXEMPLO
Analogia: Se várias pessoas forem prejudicadas por uma prática de uma empresa, elas podem 
entrar com uma ação coletiva em vez de processar individualmente.
§ 4º. Direito de Regresso
O § 4º estabelece que aquele que reparar o dano ao titular dos dados tem o direito de 
regresso contra os demais responsáveis, na medida de sua participação no evento danoso. 
Isso significa que se um operador reparar um dano, ele pode buscar reembolso do controlador 
ou de outros responsáveis.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
67 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
EXEMPLO
Se um operador arca com os custos da reparação de danos, ele pode buscar reembolso do 
controlador se a violação resultou de instruções inadequadas deste último.
Artigo 43 – Exclusões de Responsabilidade
O Artigo 43 da LGPD estabelece condições sob as quais os agentes de tratamento não 
serão responsabilizados. Isso inclui casos em que não realizaram o tratamento atribuído, não 
houve violação da legislação de proteção de dados ou o dano foi causado exclusivamente 
pelo titular dos dados ou por terceiros.
EXEMPLO
Se uma empresa pode provar que não estava envolvida no tratamento de dados que causou 
o dano, ela pode ser excluída da responsabilidade.
Artigo 44 – Irregularidades no Tratamento de Dados
O Artigo 44 aborda o que constitui tratamento irregular de dados pessoais. Isso inclui 
o não cumprimento da legislação e a falta de fornecimento de segurança adequada de 
acordo com as circunstâncias relevantes.
EXEMPLO
Se uma empresa não implementa medidas de segurança adequadas para proteger os dados 
de seus clientes, ela pode ser considerada irregular no tratamento desses dados.
Artigo 45 – Relações de Consumo
O Artigo 45 da LGPD esclarece que as hipóteses de violação dos direitos dos titulares no 
contexto das relações de consumo estão sujeitas às regras de responsabilidade previstas 
na legislação pertinente.
EXEMPLO
Analogia: se um consumidor tiver seus dados violados ao fazer compras online, as regras de 
responsabilidade do Código de Defesa do Consumidor podem se aplicar, além das disposições 
da LGPD.
Os Artigos 42 a 45 da LGPD estabelecem regras importantes relacionadas à responsabilidade, 
reparação de danos e exclusões de responsabilidade no tratamento de dados pessoais. Essas 
disposições visam garantir que os titulares de dados estejam protegidos e que os agentes 
de tratamento sejam responsabilizados quando necessário, promovendo assim a confiança 
nas práticas de tratamento de dados pessoais.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
68 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
041. 041. (FGV/DPE-RJ/DEFENSOR PÚBLICO/2023) No que diz respeito à Lei de Proteção de 
Dados Pessoais (LGPD) e à responsabilidade dos agentes que guardam e operam dados, é 
correto afirmar que:
a) o operador responde subsidiariamente pelos danos causados pelo tratamento de dados 
quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver 
seguido as instruções lícitas do controlador;
b) os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram 
danos ao titular dos dados respondem subsidiariamente;
c) aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, 
na medida de sua participação no evento danoso;
d) as normas contidas na Lei Geral de Proteção de Dados Pessoais (LGPD) excluem outros 
dispositivos pertinentes à violação do direito do titular no âmbito das relações de consumo;
e) o titular tem direito ao acesso facilitado às informações sobre o tratamento de seus 
dados, que deverão ser disponibilizadas mediante ação judicial.
a) Errada. A LGPD estabelece que o operador responde solidariamente (e não subsidiariamente) 
pelos danos causados pelo tratamento quando não cumprir as obrigações da legislação ou 
quando não seguir as instruções do controlador.
b) Errada. A LGPD estabelece uma responsabilidade solidária (e não subsidiária) entre 
controladores e operadores em determinadas circunstâncias.
c) Certa. A LGPD prevê que aquele que efetuar a reparação ao titular dos dados tem direito 
de regresso contra os demais envolvidos, conforme sua participação no evento danoso.
d) Errada. A LGPD não exclui outros dispositivos legais pertinentes à proteção dos titulares 
de dados. Portanto, a violação dos direitos do titular no contexto das relações de consumo 
ainda pode ser tratada de acordo com o Código de Defesa do Consumidor.
e) Errada. O titular tem direito ao acesso facilitado às informações sobre o tratamento de 
seus dados, mas não precisa de uma açãojudicial para isso. A LGPD garante o direito de 
acesso do titular aos seus dados sem a necessidade de judicialização.
Letra c.
042. 042. (IBFC/TJ-MG/OFICIAL JUDICIÁRIO-ASSISTENTE TÉCNICO DE CONTROLE FINANCEIRO/2022) 
No que diz respeito à responsabilidade civil, a Lei Geral de Proteção de Dados (LGPD), para 
o fim de assegurar a efetiva indenização ao titular dos dados, é incorreto afirmar que:
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
69 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
a) o operador responde subsidiariamente pelos danos causados pelo tratamento quando 
descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido 
as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, 
salvo nos casos de exclusão previstos no art. 43 da LGPD.
b) os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram 
danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos 
no art. 43 da LGPD.
c) o juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados 
quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção 
de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa.
d) aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, 
na medida de sua participação no evento danoso.
e) os agentes de tratamento só não serão responsabilizados quando provarem que não 
realizaram o tratamento de dados pessoais que lhes é atribuído; que, embora tenham 
realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à 
legislação de proteção de dados ou que o dano é decorrente de culpa exclusiva do titular 
dos dados ou de terceiro.
Vamos analisar a alternativa indicada como gabarito em relação à Lei Geral de Proteção de 
Dados Pessoais (LGPD) e as disposições sobre responsabilidade civil:
a) Errada. A LGPD estabelece que o operador responde solidariamente pelos danos causados 
pelo tratamento quando não cumprir as obrigações da legislação ou quando não seguir 
as instruções do controlador. A opção usa a palavra “subsidiariamente”, o que está em 
desacordo com a LGPD.
Para entender o conceito:
Responsabilidade subsidiária: significa que, primeiramente, busca-se a responsabilização 
de uma das partes (geralmente a principal). Se essa parte não puder cumprir sua obrigação, 
então busca-se responsabilizar a outra parte.
Responsabilidade solidária: todas as partes podem ser acionadas simultaneamente e 
responsabilizadas pelo total da obrigação. Não é necessário primeiro acionar um agente e, 
se este não cumprir, acionar o outro.
As demais alternativas estão em consonância com as disposições da LGPD:
b) Certa. A LGPD prevê responsabilidade solidária entre os controladores que estiverem 
diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados.
c) Certa. A possibilidade de inversão do ônus da prova é uma disposição que visa proteger o 
titular dos dados, considerando as peculiaridades e complexidades envolvidas no tratamento 
de dados pessoais.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
70 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
d) Certa. Se um agente reparar o dano, ele pode buscar regresso contra outros envolvidos, 
de acordo com a participação de cada um no dano causado.
e) Certa. A LGPD estabelece critérios de exclusão de responsabilidade. Se os agentes de 
tratamento comprovarem qualquer uma das situações listadas nesta alternativa, eles 
podem ser isentos de responsabilidade.
Letra a.
Da SeGUrança e DaS BoaS PrÁTicaSDa SeGUrança e DaS BoaS PrÁTicaS
Da Segurança e do Sigilo de Dados
A segurança de dados é uma preocupação fundamental na Lei Geral de Proteção de 
Dados (LGPD) para proteger informações pessoais contra acessos não autorizados e usos 
indevidos. Neste guia, examinaremos os artigos 46 a 49 da LGPD, que abordam as medidas 
de segurança, obrigações de garantia da segurança e incidentes de segurança, fornecendo 
exemplos e analogias para uma compreensão mais clara.
Artigo 46 – Medidas de Segurança
O artigo 46 estabelece que os agentes de tratamento de dados pessoais devem adotar 
medidas de segurança técnicas e administrativas para proteger os dados pessoais. Essas 
medidas são projetadas para evitar acessos não autorizados, destruição, perda, alteração 
ou qualquer forma de tratamento inadequado ou ilícito.
EXEMPLO
Uma empresa que armazena informações de clientes em seu banco de dados deve implementar 
medidas de segurança, como firewalls, criptografia e restrições de acesso, para proteger 
esses dados contra-ataques cibernéticos.
§ 1º. Padrões Técnicos Mínimos
O parágrafo 1º permite que a autoridade nacional estabeleça padrões técnicos mínimos 
para garantir a aplicação eficaz das medidas de segurança. Isso considera a natureza dos 
dados, a tecnologia disponível e a sensibilidade dos dados pessoais.
EXEMPLO
Analogia: assim como um carro deve atender a padrões mínimos de segurança, como cintos 
de segurança e airbags, os sistemas que tratam dados pessoais devem atender a padrões 
técnicos mínimos.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
71 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
§ 2º. Medidas desde a Concepção
O parágrafo 2º enfatiza que as medidas de segurança devem ser observadas desde a 
fase de concepção do produto ou serviço até a sua execução. Isso significa que a segurança 
deve ser considerada desde o início de qualquer projeto que envolva dados pessoais.
EXEMPLO
Ao criar um aplicativo de gerenciamento financeiro, as medidas de segurança, como autenticação 
de dois fatores, devem ser planejadas desde o início do desenvolvimento.
Artigo 47 – Garantia da Segurança após o Término
O artigo 47 estabelece que os agentes de tratamento e outras partes envolvidas em 
qualquer fase do tratamento devem garantir a segurança das informações mesmo após a 
conclusão do tratamento.
EXEMPLO
Mesmo após encerrar um contrato com uma empresa de terceirização de dados, esta ainda 
é responsável por garantir a segurança dos dados pessoais de que tratou durante o contrato.
Artigo 48 – Comunicação de Incidentes de Segurança
O artigo 48 obriga o controlador a comunicar à autoridade nacional e ao titular qualquer 
incidente de segurança que possa resultar em risco ou dano relevante aos titulares de dados.
EXEMPLO
Se um ataque cibernético comprometer informações pessoais de clientes, a empresa 
controladora deve informar à autoridade nacional e aos titulares afetados.
§ 1º. Conteúdo da Comunicação
O parágrafo 1º especifica que a comunicação deve incluir informações detalhadas, 
como a natureza dos dados afetados, informações sobre os titulares envolvidos, medidas 
técnicas de segurança adotadas e riscos relacionados ao incidente.
EXEMPLO
Analogia: é semelhante a um relatório de acidente de trânsito, que deve conter detalhes 
sobre osenvolvidos, as condições da estrada e a natureza do dano.
§ 2º. Providências da Autoridade Nacional
O parágrafo 2º permite que a autoridade nacional determine ao controlador medidas 
adicionais, como divulgação do incidente ou ações para mitigar os efeitos prejudiciais.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
72 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
EXEMPLO
A autoridade nacional pode exigir que uma empresa afetada por um incidente de segurança 
informe publicamente sobre o incidente para alertar os titulares de dados.
§ 3º. Comprovação de Medidas Técnicas Adequadas
O parágrafo 3º estabelece que a autoridade nacional avaliará se medidas técnicas adequadas 
foram adotadas para tornar os dados afetados ininteligíveis para terceiros não autorizados.
EXEMPLO
Analogia: é semelhante a um cofre de alta segurança que torna o conteúdo inacessível a 
pessoas não autorizadas.
Artigo 49 – Requisitos de Sistemas de Tratamento de Dados
O artigo 49 exige que os sistemas utilizados para o tratamento de dados pessoais 
atendam aos requisitos de segurança, padrões de boas práticas e princípios gerais da LGPD.
EXEMPLO
Uma empresa que oferece serviços de armazenamento em nuvem deve garantir que seus 
servidores atendam aos requisitos de segurança e criptografia para proteger os dados 
armazenados.
Os Artigos 46 a 49 da LGPD estabelecem diretrizes rigorosas para garantir a segurança 
dos dados pessoais. Essas disposições visam proteger a privacidade dos titulares de dados 
e promover a confiança nas práticas de tratamento de dados pessoais, mesmo após a 
conclusão do tratamento. O cumprimento dessas medidas é essencial para o sucesso da 
LGPD e a proteção eficaz dos direitos dos titulares de dados.
043. 043. (CESPE-CEBRASPE/SEFAZ-AL/AUDITOR FISCAL DE FINANÇAS E CONTROLE DE 
ARRECADAÇÃO DA FAZENDA ESTADUAL/2021) Julgue.
De acordo com a LGPD, qualquer entidade que intervenha em uma das fases do tratamento 
de dados pessoais obriga-se a garantir a segurança da informação desses dados, mesmo 
após o término do tratamento.
A Lei Geral de Proteção de Dados (LGPD) estabelece que os agentes de tratamento (que 
incluem controladores e operadores) devem adotar medidas de segurança, técnicas e 
administrativas aptas a proteger os dados pessoais, não apenas durante o tratamento ativo, 
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
73 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
mas também depois de seu término. Essa garantia é essencial para proteger os direitos 
fundamentais de privacidade e proteção de dados dos titulares.
A segurança da informação é uma preocupação central na LGPD. Dados pessoais, mesmo após 
o término do tratamento, podem ser alvo de acessos não autorizados, divulgação indevida 
ou outras situações que possam causar danos aos titulares. Assim, é crucial que as entidades 
mantenham medidas de segurança adequadas mesmo após o término do tratamento.
Certo.
044. 044. (MPDFT/MPDFT/PROMOTOR DE JUSTIÇA ADJUNTO/2021) Entre outras disposições 
legais, a Lei Geral de Proteção de Dados – LGPD, a Lei n. 13.709/2018, é a legislação brasileira 
que regula as atividades de tratamento de dados pessoais e que também altera os arts. 7º 
e 16 do Marco Civil da Internet. Assim, assinale a alternativa correta.
a) O chamado incidente de segurança deve ser comunicado à autoridade nacional de dados 
naqueles casos em que possa acarretar risco ou dano relevante aos titulares, em prazo 
razoável, com a recomendação atual de dois dias úteis, contado da data do conhecimento 
do incidente, enquanto não sobrevier outra regulação.
b) A LGPD fixou como prazo legal de comunicação à autoridade nacional de dados naqueles 
casos em que possa acarretar risco ou dano relevante aos titulares o prazo de dois dias 
úteis a partir do conhecimento do vazamento dos dados.
c) A LGPD fixou como prazo legal de comunicação à autoridade nacional de dados naqueles 
casos em que possa acarretar risco ou dano relevante aos titulares o prazo de dois dias 
úteis a partir da ocorrência do vazamento dos dados, tornando obrigação do gestor dos 
dados a realização de auditorias permanentes para detectar falhas na segurança.
d) A LGPD fixou como obrigação do gestor do banco de dados o de comunicação à autoridade 
nacional de dados somente naqueles casos em que possa acarretar dano relevante aos 
titulares, tendo fixado um prazo legal de cinco dias úteis.
e) A LGPD fixou como obrigação do gestor do banco de dados o de comunicação à autoridade 
nacional de dados somente naqueles casos em que possa acarretar dano relevante aos 
titulares, tendo fixado um prazo legal de sete dias úteis.
A LGPD, em seu artigo 48, menciona que o controlador deverá comunicar à Autoridade 
Nacional de Proteção de Dados (ANPD) e ao titular a ocorrência de incidente de segurança 
que possa acarretar risco ou dano relevante aos titulares. O artigo não estabelece um 
prazo específico de “dois dias úteis”, mas menciona que a comunicação deverá ser feita 
em prazo razoável.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
74 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
O detalhamento sobre “dois dias úteis” é uma especificidade que até a última atualização 
do meu treinamento, em janeiro de 2022, não estava explicitamente definida na LGPD, 
mas poderia ser uma recomendação ou regulamentação subsequente da ANPD ou outra 
entidade reguladora.
As demais alternativas contêm erros em relação ao conteúdo da LGPD:
b) Errada. Sugere que a LGPD fixou explicitamente um prazo de “dois dias úteis”, o que não 
é verdade.
c) Errada. Associa a obrigação de comunicação diretamente com o vazamento e menciona 
auditorias permanentes, o que também não é explicitamente definido na LGPD.
d) e e) Errada. Apresentam prazos de “cinco dias úteis” e “sete dias úteis”, respectivamente, 
que não estão contidos na LGPD.
Letra a.
DaS BoaS PrÁTicaS e Da GoVernançaDaS BoaS PrÁTicaS e Da GoVernança
A Lei Geral de Proteção de Dados (LGPD) incentiva a adoção de boas práticas e governança 
para proteger os dados pessoais dos cidadãos. Neste guia, exploraremos os Artigos 50 e 51 
da LGPD, que tratam das regras de boas práticas, governança e padrões técnicos.
Artigo 50 – Regras de Boas Práticas e Governança
O artigo 50 permite que controladores e operadores formulem regras de boas práticas 
e governança relacionadas ao tratamento de dados pessoais. Essas regras abrangem uma 
ampla variedade de aspectos, desde procedimentos até ações educativas.
EXEMPLO
Um banco que lida com dados de clientes pode criar regras de boas práticas que definem 
como os dados devem ser coletados, armazenados e protegidos.
§ 1º. Consideração dos Riscos e Benefícios
O parágrafo 1º enfatiza que ao estabelecer essas regras, os controladores e operadores 
devem considerar a natureza dos dados, os riscos e benefícios do tratamento de dados 
pessoais para os titulares.
EXEMPLO
Analogia: como um cirurgião considera cuidadosamente os riscos e benefícios de uma 
cirurgia antes deprosseguir, os controladores devem ponderar sobre os riscos e benefícios 
do tratamento de dados.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
75 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
§ 2º. Programa de Governança em Privacidade
O parágrafo 2º descreve a possibilidade de implementar um programa de governança 
em privacidade. Isso significa estabelecer políticas e práticas internas para garantir o 
cumprimento das normas de proteção de dados pessoais.
EXEMPLO
Uma empresa de tecnologia pode criar um programa de governança em privacidade que inclui 
políticas rigorosas de proteção de dados e auditorias regulares.
§ 3º. Reconhecimento pela Autoridade Nacional
O parágrafo 3º estipula que as regras de boas práticas e governança devem ser públicas e 
atualizadas regularmente. Além disso, a autoridade nacional pode reconhecê-las e divulgá-las.
EXEMPLO
Analogia: imagine que um restaurante siga práticas rigorosas de higiene alimentar e que 
essas práticas sejam reconhecidas por um órgão de saúde e divulgadas para que os clientes 
saibam que estão seguros.
Artigo 51 – Estímulo a Padrões Técnicos
O artigo 51 incentiva a autoridade nacional a promover a adoção de padrões técnicos 
que facilitem o controle dos titulares sobre seus dados pessoais.
EXEMPLO
Um aplicativo de gerenciamento financeiro pode adotar um padrão técnico que permita aos 
usuários visualizar, acessar e controlar facilmente suas informações financeiras.
Os artigos 50 e 51 da LGPD são fundamentais para promover boas práticas, governança 
eficaz e a proteção dos direitos dos titulares de dados pessoais. Eles garantem que as 
organizações considerem os riscos e benefícios do tratamento de dados, implementem 
programas de governança sólidos e incentivem o uso de padrões técnicos que aumentem 
o controle dos titulares sobre seus dados pessoais. Essas medidas contribuem para uma 
implementação eficaz da LGPD e para a proteção da privacidade dos cidadãos.
045. 045. (CESPE-CEBRASPE/MPE-RO/ANALISTA DE REDES E COMUNICAÇÃO DE DADOS/2023) 
De acordo com o que estabelece a Lei Geral de Proteção de Dados (LGPD), são habilitados 
a formular regras de boas práticas e de governança, que incluem, por exemplo, as ações 
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
76 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
educativas e os mecanismos internos de supervisão e de mitigação de riscos no tratamento 
de dados pessoais, os:
a) serviços notariais e de registro.
b) titulares.
c) encarregados.
d) controladores e os operadores.
e) órgãos de pesquisa.
Vamos avaliar as alternativas:
a) Errada. Serviços notariais e de registro: não são especificamente habilitados pela LGPD 
para formular regras de boas práticas e de governança.
b) Errada. Titulares: embora sejam os donos dos dados e tenham direitos específicos 
garantidos pela LGPD, eles não são responsáveis por estabelecer regras de boas práticas.
c) Errada. Encarregados: o encarregado atua como canal de comunicação entre o controlador, 
os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Embora tenha 
um papel importante, ele não formula diretamente regras de boas práticas, mas garante 
que elas sejam cumpridas.
d) Certa. Controladores e operadores: são os agentes de tratamento responsáveis pelo 
processamento de dados pessoais. Eles têm a responsabilidade de garantir que os dados 
sejam tratados em conformidade com a LGPD e, portanto, estão habilitados a formular 
regras de boas práticas e de governança.
e) Errada. Órgãos de pesquisa: embora possam tratar dados pessoais para fins específicos, 
não são especificamente designados pela LGPD para formular regras de boas práticas e 
de governança.
Letra d.
Da fiScaLiZaçãoDa fiScaLiZação
Das Sanções Administrativas
A Lei Geral de Proteção de Dados (LGPD) estabelece medidas rigorosas para garantir 
a conformidade com suas normas de proteção de dados pessoais. O artigo 52 descreve 
as sanções administrativas que podem ser aplicadas pela autoridade nacional em caso de 
infração. Vamos explorar cada uma dessas sanções com exemplos e analogias para entender 
melhor como funcionam.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
77 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
I – Advertência
A primeira sanção listada é a advertência. Isso implica que a autoridade nacional pode 
alertar o agente de tratamento sobre uma violação e estabelecer um prazo para que medidas 
corretivas sejam tomadas.
EXEMPLO
Imagine um funcionário que viola uma política de segurança da empresa ao compartilhar 
informações confidenciais. A empresa pode adverti-lo e dar-lhe um prazo para concluir um 
treinamento de segurança.
II – Multa Simples
O inciso II prevê multas simples, que podem chegar a até 2% do faturamento da pessoa 
jurídica ou grupo no Brasil no último exercício, limitadas a R$ 50 milhões por infração.
EXEMPLO
Analogia: Isso é como uma multa de trânsito, onde a penalidade financeira varia com base 
na gravidade da infração.
III – Multa Diária
O inciso III permite multas diárias em casos contínuos, respeitando o limite total 
estabelecido no II.
EXEMPLO
Se uma empresa continuar a cometer uma infração de privacidade de dados, como não 
proteger adequadamente informações pessoais, ela pode enfrentar multas diárias até 
resolver o problema.
IV – Publicização da Infração
A inciso IV envolve a publicização da infração após ser confirmada. Isso significa que a 
autoridade nacional pode divulgar a infração para o público.
EXEMPLO
Analogia: similar a um jornal publicar uma notícia sobre uma empresa que violou regulamentos 
de segurança de dados.
V – Bloqueio dos Dados
A inciso V permite que a autoridade nacional bloqueie os dados pessoais relacionados 
à infração até que a situação seja regularizada.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
78 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
EXEMPLO
Se uma rede social violar a privacidade dos usuários, a autoridade pode bloquear o acesso a 
esses dados até que as correções sejam feitas.
VI – Eliminação dos Dados
A inciso VI envolve a eliminação dos dados pessoais relacionados à infração.
EXEMPLO
Analogia: é como apagar permanentemente informações em seu computador para evitar 
acesso não autorizado.
X – Suspensão Parcial do Funcionamento do Banco de Dados
O inciso X permite a suspensão temporária parcial do funcionamento do banco de dados 
relacionado à infração.
EXEMPLO
Uma empresa que viola a privacidade de seus clientes pode ter parte de seu sistema de banco 
de dados temporariamente desativada até resolver o problema.
XI – Suspensão do Exercício da Atividade de Tratamento
O inciso XI envolve a suspensãotemporária do exercício da atividade de tratamento 
dos dados pessoais relacionados à infração.
EXEMPLO
Analogia: é como um motorista que tem sua carteira de motorista suspensa temporariamente 
após cometer várias infrações de trânsito.
XII – Proibição das Atividades Relacionadas ao Tratamento de Dados
O inciso XII permite a proibição total ou parcial das atividades relacionadas ao tratamento 
de dados pessoais.
EXEMPLO
Uma empresa que sistematicamente não protege os dados dos clientes pode ser proibida 
de continuar a coletar ou processar esses dados.
O Artigo 52 da LGPD estabelece um conjunto abrangente de sanções administrativas 
para garantir a conformidade com as normas de proteção de dados pessoais. Essas sanções 
podem variar de advertências a multas substanciais, dependendo da gravidade da infração 
e de outros fatores considerados. É fundamental que as organizações estejam cientes 
dessas sanções e implementem medidas adequadas para proteger os dados pessoais de 
acordo com a LGPD, evitando assim penalidades sérias.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
79 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
046. 046. (IBFC/EBSERH/TÉCNICO DE ENFERMAGEM/2022) Os agentes de tratamento de dados, 
em razão das infrações cometidas às normas previstas na Lei Geral de Proteção de Dados 
(LGPD), ficam sujeitos às sanções administrativas aplicáveis pela autoridade nacional. 
Assinale a alternativa que não apresente uma sanção prevista da LGPD.
a) Advertência, com indicação de prazo para adoção de medidas corretivas.
b) Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito 
privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, 
limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.
c) Eliminação dos dados pessoais a que se refere a infração.
d) Bloqueio dos dados pessoais a que se refere a infração até a sua regularização.
e) Detenção, de 1 a 2 meses.
a) Certa. É uma sanção prevista pela LGPD.
c) Certa. É uma das sanções financeiras previstas pela LGPD.
c) Certa. É uma sanção prevista pela LGPD, especialmente em casos em que o tratamento 
dos dados não esteja em conformidade com a lei.
d) Certa. Também é uma sanção prevista pela LGPD.
e) Errada. Não é uma sanção prevista pela LGPD. A LGPD é uma legislação de natureza 
administrativa e civil, e não estabelece sanções penais, como detenção ou prisão.
Letra e.
047. 047. (FUNDATEC/PROCERGS-ANT/ANALISTA TÉCNICO-ADVOGADO NA ÁREA CÍVEL/2023) A 
LGPD estabelece que os agentes de tratamento de dados, em razão das infrações cometidas 
às normas previstas na referida Lei, ficam sujeitos às determinadas sanções administrativas 
aplicáveis pela autoridade nacional. Segundo as disposições do Art. 52 da referida lei, entre 
as sanções administrativas aplicáveis pela autoridade nacional está a multa simples, de 
até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou 
conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a 
______________ por infração.
Assinale a alternativa que preenche corretamente a lacuna do trecho acima.
a) R$ 10.000.000,00 (dez milhões de reais)
b) R$ 20.000.000,00 (vinte milhões de reais)
c) R$ 30.000.000,00 (trinta milhões de reais)
d) R$ 40.000.000,00 (quarenta milhões de reais)
e) R$ 50.000.000,00 (cinquenta milhões de reais)
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
80 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
De acordo com o Art. 52 da LGPD (Lei n. 13.709/2018), as sanções administrativas que 
podem ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD) incluem uma 
multa simples de até 2% (dois por cento) do faturamento da pessoa jurídica de direito 
privado, grupo ou conglomerado no Brasil, referente ao seu último exercício, com a exclusão 
dos tributos. Importante notar que essa multa possui um teto, ou seja, um valor máximo 
que pode ser aplicado por infração. Esse valor é de R$ 50.000.000,00 (cinquenta milhões 
de reais).
Portanto, a alternativa que corretamente preenche a lacuna do trecho apresentado é a 
letra E.
Esse limite serve como uma medida para garantir que mesmo em casos de grandes 
conglomerados com faturamentos elevados, a multa não atinja valores desproporcionais 
ou que possam comprometer a continuidade das atividades da empresa. Assim, a multa 
é proporcional ao faturamento (até 2%) e tem um valor máximo definido para garantir 
equilíbrio na sua aplicação.
Letra e.
Da aUToriDaDe nacionaL De ProTeção De DaDoS Da aUToriDaDe nacionaL De ProTeção De DaDoS 
(ANPD) E DO CONSELHO NACIONAL DE PROTEÇÃO DE (ANPD) E DO CONSELHO NACIONAL DE PROTEÇÃO DE 
DaDoS PeSSoaiS e Da PriVaciDaDeDaDoS PeSSoaiS e Da PriVaciDaDe
Da Autoridade Nacional de Proteção de Dados (ANPD)
A Lei Geral de Proteção de Dados (LGPD) estabelece a criação da Autoridade Nacional 
de Proteção de Dados (ANPD), uma instituição fundamental para regulamentar e fiscalizar 
a proteção de dados pessoais no Brasil. Vamos explorar os artigos 55, 55-A, 55-C e 55-D da 
LGPD, que tratam da estrutura e funcionamento da ANPD, usando exemplos e analogias 
para tornar esses conceitos mais claros.
Artigo 55 – (VETADO)
Este artigo não possui conteúdo relevante para nossa discussão, pois foi vetado.
Artigo 55-A – Criação e Características da ANPD
Aqui, a LGPD estabelece a criação da ANPD como uma autarquia de natureza especial, 
com autonomia técnica e decisória, sede no Distrito Federal e foro próprio. Isso significa que 
a ANPD é uma instituição independente, capaz de tomar decisões relacionadas à proteção 
de dados pessoais sem influências externas.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
81 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
EXEMPLO
Analogia: a ANPD é como um árbitro em uma partida de futebol, que toma decisões imparciais 
para garantir que todas as regras do jogo sejam seguidas, sem favorecer nenhum time.
Artigo 55-C – Composição da ANPD
A ANPD é composta por diferentes órgãos:
Conselho Diretor: é o órgão máximo de direção da ANPD.
Conselho Nacional de Proteção de Dados Pessoais e da Privacidade: órgão consultivo 
que auxilia na definição de políticas relacionadas à proteção de dados.
Corregedoria: responsável por fiscalizar o cumprimento das normas pela ANPD e 
sua equipe.
Ouvidoria: encarregada de receber sugestões, reclamações e denúncias da sociedade 
em relação à proteção de dados.
Procuradoria: unidade responsável por representar a ANPD judicialmente e orientá-la 
em questões legais.
Unidades Administrativas e Unidades Especializadas: têm funções específicas para 
aplicar a LGPD.
EXEMPLO
A ANPD é como um carro que tem diferentes partes, como motor, volante, freios etc. Cada 
parte desempenha um papel importante para garantir que o carro funcione corretamente.
Artigo 55-D – Conselho Diretor da ANPD
O Conselho Diretor da ANPD é composto por 5 diretores, incluindo o Diretor-Presidente, 
quelidera o órgão. Os membros do Conselho Diretor são escolhidos pelo Presidente da 
República, com aprovação do Senado Federal. Eles devem ter reputação ilibada, educação 
superior e conhecimento no campo de especialidade relacionado às suas funções. O mandato 
dos membros do Conselho Diretor é de 4 anos.
EXEMPLO
Analogia: O Conselho Diretor da ANPD é como uma equipe de pilotos em um avião. Cada piloto 
tem um papel específico para garantir que o avião voe com segurança e eficiência.
Artigo 55-E – Perda de Cargo dos Membros do Conselho Diretor
Este artigo estabelece as condições sob as quais os membros do Conselho Diretor da 
ANPD podem perder seus cargos, as quais incluem renúncia, condenação judicial ou demissão 
por infrações disciplinares. Isso assegura que os membros do Conselho Diretor atuem com 
responsabilidade e ética.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
82 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
EXEMPLO
Analogia: é como as regras em uma competição esportiva, onde os atletas podem ser 
desqualificados por conduta antiética ou desrespeito às regras.
Artigo 55-F – Aplicação da Lei de Conflito de Interesses
Este artigo estabelece que após deixarem seus cargos, os membros do Conselho Diretor 
da ANPD estão sujeitos à Lei de Conflito de Interesses. Isso ajuda a evitar que ex-membros 
utilizem informações privilegiadas em benefício próprio.
EXEMPLO
Imagine que um árbitro de futebol, após se aposentar, não deve usar seu conhecimento para 
apostar em partidas e influenciar resultados.
Artigo 55-G – Estrutura Regimental da ANPD
O presidente da República é responsável por definir a estrutura organizacional da ANPD 
por meio de um ato. Isso garante que a ANPD tenha uma organização clara e bem definida.
EXEMPLO
Analogia: é como o arquiteto que projeta um edifício, garantindo que ele tenha todos os 
andares, salas e sistemas necessários.
Artigo 55-H – Remanejamento de Cargos
Este artigo estabelece que a ANPD pode remanejar cargos de outros órgãos do governo 
para preencher suas necessidades de pessoal. Isso ajuda a garantir que a ANPD tenha a 
equipe necessária para cumprir suas responsabilidades.
EXEMPLO
É semelhante a uma empresa que transfere funcionários de um departamento para outro 
para atender a novas demandas.
Artigo 55-I – Nomeação de Ocupantes de Cargos em Comissão
A nomeação de ocupantes de cargos em comissão e funções de confiança na ANPD é 
realizada pelo Conselho Diretor, com aprovação do Diretor-Presidente. Isso assegura que 
a equipe da ANPD seja composta por pessoas qualificadas e confiáveis.
EXEMPLO
Analogia: é como um capitão de um time de futebol escolhendo seus jogadores para garantir 
um bom desempenho em campo.
Artigo 55-J – Competências da ANPD
Este artigo lista as diversas competências da ANPD, que vão desde zelar pela proteção 
de dados pessoais até promover o conhecimento das normas de proteção de dados. A ANPD 
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
83 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
também pode apreciar petições de titulares, fiscalizar o tratamento de dados e cooperar 
internacionalmente.
EXEMPLO
É como um guarda de trânsito que não apenas aplica multas, mas também educa os motoristas 
e colabora com outras autoridades de trânsito.
Artigo 55-K – Competências Exclusivas da ANPD
Este artigo estabelece que a aplicação das sanções previstas na LGPD é uma competência 
exclusiva da ANPD, e suas competências prevalecerão sobre as de outras entidades ou 
órgãos públicos no que diz respeito à proteção de dados pessoais.
EXEMPLO
Analogia: imagine a ANPD como um árbitro em uma partida de futebol que tem autoridade 
exclusiva para aplicar cartões amarelos e vermelhos. Outros envolvidos no jogo, como técnicos 
ou jogadores, não têm essa autoridade.
Artigo 55-L – Receitas da ANPD
Este artigo lista as fontes de receita da ANPD, que incluem dotações orçamentárias, 
doações, venda ou aluguel de bens, investimentos financeiros, recursos de acordos e 
convênios, bem como a venda de publicações e dados.
EXEMPLO
É como uma organização sem fins lucrativos que obtém recursos de doações, venda de 
produtos e investimentos financeiros para financiar suas atividades.
Artigo 55-M – Patrimônio da ANPD
Este artigo descreve o patrimônio da ANPD, que é composto por bens e direitos 
transferidos pelos órgãos da Presidência da República e por aqueles que a ANPD adquire 
ou incorpora ao longo do tempo.
EXEMPLO
Analogia: o patrimônio da ANPD é semelhante ao conjunto de ativos de uma empresa, incluindo 
propriedades que ela adquire ou herda.
A ANPD desempenha um papel crítico na aplicação da LGPD, garantindo que as sanções 
sejam aplicadas corretamente e que os dados pessoais dos cidadãos sejam protegidos. 
Ela obtém financiamento de diversas fontes, incluindo recursos do orçamento público 
e doações, para cumprir suas responsabilidades. Seu patrimônio é composto por bens 
transferidos e adquiridos ao longo do tempo. Em resumo, a ANPD é a guardiã da proteção 
de dados pessoais no Brasil, assegurando que a LGPD seja cumprida e respeitada.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
84 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
Do conSeLHo nacionaL De ProTeção De DaDoS Do conSeLHo nacionaL De ProTeção De DaDoS 
PeSSoaiS e Da PriVaciDaDePeSSoaiS e Da PriVaciDaDe
O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNDP) é um 
órgão importante na estrutura de proteção de dados no Brasil, desempenhando funções 
cruciais na elaboração e execução das políticas de privacidade e proteção de dados. Neste 
artigo, exploraremos os artigos 58-A e 58-B da Lei Geral de Proteção de Dados (LGPD) para 
compreender a composição e as responsabilidades desse conselho.
Artigo 58-A – Composição do CNDP
O CNDP é composto por 23 representantes de diferentes órgãos e setores da sociedade, 
cada um com um papel específico. Vamos examinar os principais pontos deste artigo:
• 5 representantes do Poder Executivo federal;
• 1 representante do Senado Federal;
• 1 representante da Câmara dos Deputados;
• 1 representante do Conselho Nacional de Justiça;
• 1 representante do Conselho Nacional do Ministério Público;
• 1 representante do Comitê Gestor da Internet no Brasil;
• 3 representantes de entidades da sociedade civil envolvidas na proteção de dados 
pessoais;
• 3 representantes de instituições científicas, tecnológicas e de inovação;
• 3 representantes de confederações sindicais representativas de categorias econômicas 
do setor produtivo;
• 2 representantes de entidades relacionadas ao setor empresarial de tratamento de 
dados pessoais; e
• 2 representantes de entidades relacionadas ao setor trabalhista.
É importante destacar que os representantes são designados por ato do Presidente da 
República, com possibilidade de delegação.
EXEMPLO
Analogia: o CNDP é como um conselho de especialistas, onde diferentes partes interessadas, 
como governo, sociedade civil, acadêmicos e setores produtivos sereúnem para discutir e 
tomar decisões sobre a proteção de dados pessoais.
Artigo 58-B – Competências do CNDP
O CNDP tem uma série de competências para orientar e monitorar a implementação 
das políticas de proteção de dados no Brasil. Suas principais responsabilidades incluem:
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
85 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
• Propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política 
Nacional de Proteção de Dados Pessoais e da Privacidade (ou PNPD);
• Elaborar relatórios anuais de avaliação da execução das ações da PNPD;
• Sugerir ações a serem realizadas pela Autoridade Nacional de Proteção de Dados 
(ANPD);
• Elaborar estudos e promover debates e audiências públicas sobre a proteção de 
dados pessoais e privacidade;
• Disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à 
população.
EXEMPLO
O CNDP age como um comitê de orientação, ajudando a formular estratégias, avaliar o 
progresso e promover a conscientização sobre a proteção de dados em todo o país.
O CNDP desempenha um papel fundamental na supervisão e promoção da proteção de 
dados pessoais e da privacidade no Brasil. Sua composição diversificada reflete a importância 
de considerar diferentes perspectivas ao formular políticas nessa área. Além disso, suas 
competências incluem desde a proposição de diretrizes até a disseminação de conhecimento, 
tornando-o uma peça-chave na implementação eficaz da Lei Geral de Proteção de Dados.
048. 048. (FGV/TJ-DFT/ANALISTA JUDICIÁRIO-SEGURANÇA DA INFORMAÇÃO/2022) De acordo 
com a composição da ANPD (Autoridade Nacional de Proteção de Dados) prevista na LGPD 
(Lei Geral de Proteção de Dados Pessoais), disseminar o conhecimento sobre a proteção 
de dados pessoais e da privacidade à população é uma atribuição do(a):
a) Conselho Diretor;
b) Unidades especializadas;
c) Unidades administrativas;
d) Coordenação-Geral de Administração;
e) Conselho Nacional de Proteção de Dados Pessoais e da Privacidade.
A LGPD (Lei n. 13.709/2018) estabeleceu a Autoridade Nacional de Proteção de Dados 
(ANPD) e definiu sua estrutura. Uma das partes dessa estrutura é o Conselho Nacional de 
Proteção de Dados Pessoais e da Privacidade.
O Art. 55-J da LGPD define as competências do Conselho Nacional de Proteção de Dados 
Pessoais e da Privacidade. Entre as atribuições desse Conselho, conforme o inciso VII do 
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
86 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
mesmo artigo, está a de “disseminar o conhecimento sobre as normas e as políticas públicas 
de proteção de dados pessoais e das medidas de segurança”.
Isso significa que uma das responsabilidades desse Conselho é promover e propagar 
informações sobre proteção de dados pessoais, visando educar e informar a população 
brasileira sobre seus direitos e sobre a importância da privacidade.
Letra e.
049. 049. (CESPE-CEBRASPE/APEX BRASIL/ANALISTA I-COMUNICAÇÃO/2022) A Autoridade 
Nacional de Proteção de Dados (ANPD)
a) é entidade da administração pública federal com natureza jurídica de empresa pública.
b) é órgão com autonomia técnica, mas sem poder decisório.
c) prevê mandato dos membros do seu Conselho Diretor por, no máximo, dois anos.
d) é composta de corregedoria e ouvidoria.
a) Errada. A ANPD foi estabelecida como um órgão da administração pública federal direta, 
não como uma empresa pública.
b) Errada. A ANPD tem autonomia técnica e poder decisório em áreas relacionadas à proteção 
de dados no Brasil.
c) Errada. O mandato dos membros do Conselho Diretor da ANPD é de quatro anos, com a 
possibilidade de uma recondução.
d) Certa. A ANPD possui entre suas unidades especializadas uma corregedoria e uma ouvidoria.
Letra d.
050. 050. (FCC/TRT 23ª REGIÃO-MT/ANALISTA JUDICIÁRIO-ÁREA ADMINISTRATIVA/2022) De 
acordo com o que estabelece a Lei Geral de Proteção de Dados (Lei n. 13.709/2018) acerca 
da Autoridade Nacional de Proteção de Dados (ANPD),
a) os membros do Conselho Diretor da ANPD serão escolhidos dentre brasileiros que 
tenham reputação ilibada, nível superior de educação e elevado conceito no campo de 
especialidade dos cargos para os quais serão nomeados, com mandato de um ano, permitida 
uma recondução.
b) sua natureza é de secretaria especial, vinculada ao Ministério da Justiça, dotada de 
autonomia técnica e decisória, com patrimônio próprio e com sede e foro no Distrito Federal.
c) os membros do Conselho Diretor da ANPD somente perderão seus cargos em virtude de 
renúncia, condenação judicial transitada em julgado ou pena de demissão decorrente de 
processo administrativo disciplinar.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
87 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
d) os membros do Conselho Diretor da ANPD serão escolhidos pelo Presidente da República 
e por ele nomeados, após aprovação pelo Congresso Nacional.
e) os ocupantes dos cargos em comissão e das funções de confiança da ANPD serão indicados 
pelo Presidente da República, após aprovação do Senado Federal.
a) Errada. A descrição sobre a reputação ilibada, nível superior e elevado conceito no campo 
de especialidade está correta, mas o mandato de um ano está errado. O mandato correto 
é de quatro anos, permitida uma única recondução.
b) Errada. A ANPD não tem natureza de secretaria especial.
Art. 55-A. Fica criada a Autoridade Nacional de Proteção de Dados – ANPD, autarquia de natureza 
especial, dotada de autonomia técnica e decisória, com patrimônio próprio e com sede e foro 
no Distrito Federal.
c) Certa. Este é o correto, conforme estabelecido pela LGPD, indicando as condições sob as 
quais os membros do Conselho Diretor da ANPD podem perder seus cargos.
d) Errada. A aprovação dos membros do Conselho Diretor é feita especificamente pelo 
Senado Federal e não pelo Congresso Nacional como um todo.
e) Errada. A nomeação dos ocupantes de cargos em comissão e funções de confiança não 
requer aprovação do Senado Federal. A aprovação do Senado é específica para os membros 
do Conselho Diretor.
Letra c.
051. 051. (FGV/SEAD-AP/PERITO CRIMINAL-ANALISTA DE SISTEMA/2022) De acordo com a Lei 
Geral de Proteção de Dados Pessoais (LGPD), a Autoridade Nacional de Proteção de Dados 
é responsável por
a) realizar o tratamento de dados pessoais sensíveis em nome do controlador.
n) obter o consentimento do titular para transferência internacional de dados pessoais.
c) tomar as decisões referentes a anonimização e tratamento dos dados pessoais.
d) atuar como canal de comunicação entre os titulares de dados pessoais sensíveis.
e) zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.
a) Errada. A ANPD não realiza o tratamento de dados pessoais sensíveis em nome do 
controlador. Esta função é do controlador e, em certos contextos, do operador sob instruções 
do controlador.
b) Errada. Obter o consentimento do titular para a transferência internacional de dados 
pessoaisé responsabilidade do controlador.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
88 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
c) Errada. Tomar decisões sobre a anonimização e tratamento de dados pessoais é uma 
função que cabe ao controlador. A ANPD pode estabelecer diretrizes e padrões, mas não 
toma decisões específicas para casos individuais.
d) Errada. A ANPD não atua como canal de comunicação entre os titulares de dados pessoais 
sensíveis. Embora possa intervir em questões de proteção de dados, a comunicação direta 
entre controladores e titulares é uma obrigação dos controladores.
e) Certa. Sim, a principal função da ANPD é zelar, implementar e fiscalizar o cumprimento 
da LGPD em todo o território nacional. Esta é a opção correta e a principal atribuição da 
ANPD conforme estabelecido na LGPD.
Letra e.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
89 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
RESUMORESUMO
A Lei Geral de Proteção de Dados (LGPD) foi sancionada em agosto de 2018 e entrou 
em vigor em setembro de 2020. Essa lei é considerada um marco legal para a proteção de 
informações pessoais no Brasil, em resposta à crescente necessidade de regulamentar o 
tratamento de dados no ambiente digital.
fUnDamenToS
Os fundamentos da Lei Geral de Proteção de Dados (LGPD) são os princípios essenciais 
que guiam sua aplicação e interpretação. Eles representam os valores e objetivos que a 
legislação busca alcançar. Os fundamentos da LGPD são:
• Respeito à Privacidade: proteção da intimidade, vida privada, honra e imagem 
das pessoas. Reconhecimento de que os indivíduos têm o direito de controlar suas 
próprias informações pessoais.
• Autodeterminação Informativa: direito de controle dos cidadãos sobre suas 
informações pessoais. Permite que os indivíduos decidam como suas informações 
serão utilizadas, armazenadas e compartilhadas.
• Finalidade: o tratamento de dados pessoais deve ser realizado para propósitos 
legítimos e específicos, informados aos titulares dos dados.
• Adequação: o tratamento de dados pessoais deve ser compatível com a finalidade 
para a qual foram coletados.
• Necessidade: a coleta de dados pessoais deve ser limitada ao mínimo necessário 
para o cumprimento da finalidade pretendida.
• Livre Acesso: garantia aos titulares dos dados de consulta facilitada e gratuita sobre 
a forma e a duração do tratamento de seus dados pessoais, além da integralidade 
das informações.
• Qualidade dos Dados: garantia de que os dados pessoais sejam atualizados, corretos 
e precisos.
• Transparência: dever de fornecer informações claras e acessíveis aos titulares sobre 
o tratamento de seus dados pessoais.
• Segurança: implementação de medidas técnicas e organizacionais adequadas para 
proteger os dados pessoais contra acesso não autorizado, destruição, perda, alteração 
ou divulgação indevida.
• Prevenção: adoção de medidas para prevenir a ocorrência de danos devido ao 
tratamento de dados pessoais.
• Não Discriminação: proibição de tratamento de dados pessoais para fins 
discriminatórios, abusivos ou ilegais.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
90 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
• Responsabilização e Prestação de Contas: dever de demonstrar a conformidade com 
a LGPD e assumir a responsabilidade pelo tratamento adequado dos dados pessoais.
Esses fundamentos são essenciais para garantir a proteção dos direitos fundamentais 
dos indivíduos e promover uma cultura de respeito e proteção dos dados pessoais.
aPLicaBiLiDaDe
A aplicabilidade da Lei Geral de Proteção de Dados (LGPD) abrange todas as entidades 
públicas e privadas que realizam o tratamento de dados pessoais, independentemente do 
meio utilizado. Isso inclui todas as etapas e formas de processamento de dados pessoais, 
desde que cumpram os critérios especificados nos incisos I a III do artigo 3º da LGPD:
Inciso I: O tratamento de dados é realizado no território brasileiro.
Inciso II: A atividade de tratamento visa à oferta ou ao fornecimento de bens ou serviços 
no Brasil ou envolve dados de indivíduos localizados no Brasil.
Inciso III: Os dados foram coletados no território brasileiro.
Dessa forma, empresas estrangeiras que fazem negócios no Brasil ou que processam dados 
de indivíduos no Brasil também estão sujeitas à LGPD. A lei tem alcance extraterritorial, o 
que significa que se aplica mesmo que a sede da empresa esteja em outro país ou os dados 
estejam localizados fora do Brasil, desde que cumpram esses critérios.
É importante ressaltar que existem algumas exceções em que a LGPD não se aplica, 
como no tratamento de dados para fins pessoais ou jornalísticos, conforme previsto no 
artigo 4º, inciso IV da lei. No entanto, essas exceções são específicas e buscam equilibrar a 
proteção da privacidade dos indivíduos com outros valores e interesses sociais importantes, 
como a liberdade de expressão, a segurança pública e a soberania do Estado.
As exceções são estabelecidas pela própria lei e incluem:
• Tratamento de dados exclusivamente para fins particulares e não econômicos: quando 
uma pessoa trata dados pessoais exclusivamente para fins pessoais e não comerciais, 
a LGPD não se aplica. Isso pode incluir o gerenciamento de contatos pessoais ou fotos 
em um dispositivo privado.
• Tratamento de dados para fins exclusivamente jornalísticos, artísticos ou acadêmicos: 
a LGPD não se aplica ao tratamento de dados pessoais realizado para fins jornalísticos, 
artísticos ou acadêmicos, embora certos artigos da LGPD ainda se apliquem no 
contexto acadêmico.
• Tratamento de dados para segurança pública, defesa nacional, segurança do 
estado e repressão de infrações penais: essa exceção estabelece que certos órgãos 
governamentais podem tratar dados pessoais no exercício de suas funções, como 
policiamento e segurança nacional, desde que sigam legislação específica e atendam 
ao interesse público.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
91 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
TraTamenTo De DaDoS PeSSoaiS
De acordo com a LGPD, o termo “tratamento” abrange todas as operações realizadas 
com dados pessoais, incluindo coleta, produção, recepção, classificação, utilização, acesso, 
reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, 
eliminação, entre outros.
Além disso, a lei estabelece que o tratamento de dados pessoais não se aplica apenas 
aos dados processados digitalmente, mas também abrange dados tratados fora dos meios 
digitais, como informações em papel.
A LGPD diferencia pessoas naturais de pessoas jurídicas e estabelece regras específicas 
para o tratamento dedados pessoais sensíveis, que incluem informações sobre origem 
racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização 
de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado 
genético ou biométrico vinculado a uma pessoa natural.
Em relação ao tratamento de dados pessoais, a LGPD estabelece hipóteses em que o 
tratamento é permitido, como o consentimento do titular, o cumprimento de obrigação legal 
ou regulatória pelo controlador, a realização de estudos por órgão de pesquisa, entre outros.
A lei também estabelece direitos e garantias fundamentais para os titulares dos dados, 
como o direito de acesso às informações relacionadas ao tratamento de seus dados, o 
direito ao consentimento informado e o direito à portabilidade dos dados.
É importante ressaltar que o tratamento de dados pessoais deve seguir os princípios 
da LGPD, como a finalidade, adequação, necessidade, transparência, segurança, prevenção, 
não discriminação, responsabilização e prestação de contas.
Em resumo, o tópico “Tratamento de Dados Pessoais” da LGPD abrange as definições, 
conceitos básicos, hipóteses de tratamento, direitos dos titulares e princípios que devem 
ser observados para garantir a proteção dos dados pessoais.
conSenTimenTo
O consentimento é um dos princípios fundamentais da Lei Geral de Proteção de Dados 
(LGPD). Segundo a LGPD, o consentimento é uma autorização expressa e inequívoca dada pelo 
titular dos dados para o tratamento de suas informações pessoais. O consentimento deve 
ser obtido de forma clara e específica, informando ao titular a finalidade do tratamento, os 
direitos que possui em relação aos seus dados e a possibilidade de revogar o consentimento 
a qualquer momento. Além disso, a LGPD estabelece que o consentimento deve ser fornecido 
por escrito ou por outro meio que demonstre a manifestação de vontade do titular. É 
importante ressaltar que o consentimento não pode ser obtido de forma tácita, ou seja, 
não pode ser presumido a partir da omissão do titular.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
92 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
Do TraTamenTo De DaDoS PeSSoaiS SenSÍVeiS
O tratamento de dados pessoais sensíveis é regulamentado pelo artigo 11 da Lei Geral 
de Proteção de Dados (LGPD). Esse tipo de dado inclui informações sobre origem racial ou 
étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter 
religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, bem como dados 
genéticos ou biométricos vinculados a uma pessoa natural.
O tratamento de dados pessoais sensíveis requer o consentimento específico e 
destacado do titular para finalidades específicas. Existem algumas situações em que o 
tratamento pode ocorrer sem o consentimento do titular, como quando é indispensável 
para o cumprimento de obrigação legal ou regulatória pelo controlador, quando é necessário 
para a execução de políticas públicas pela administração pública, quando é realizado por 
órgãos de pesquisa garantindo a anonimização dos dados sempre que possível, entre outras 
hipóteses previstas na LGPD.
A LGPD estabelece regras específicas para o tratamento desses dados sensíveis, visando 
uma proteção ainda mais rigorosa da privacidade dos indivíduos. É importante respeitar 
essas regras e garantir a segurança e a privacidade dos dados pessoais sensíveis.
TraTamenTo De DaDoS PeSSoaiS De criançaS e De aDoLeScenTeS
De acordo com a LGPD, o tratamento de dados pessoais de crianças e adolescentes deve 
ser realizado considerando o melhor interesse desses grupos. Para o tratamento de dados 
de crianças, é necessário obter o consentimento específico e destacado de pelo menos um 
dos pais ou do responsável legal.
Os controladores de dados devem tornar públicas as informações sobre os tipos de 
dados coletados, como esses dados são usados e como os pais ou responsáveis podem 
exercer os direitos previstos na lei. Além disso, os dados pessoais de crianças só podem ser 
coletados sem consentimento quando necessários para contatar os pais ou responsável, 
com uso único e sem armazenamento, e não podem ser compartilhados com terceiros.
TÉrmino Do TraTamenTo De DaDoS
O artigo 15 da Lei Geral de Proteção de Dados (LGPD) estabelece as seguintes hipóteses 
para o término do tratamento:
• Finalidade Alcançada: o tratamento de dados pessoais deve ser encerrado quando a 
finalidade para a qual esses dados foram coletados foi alcançada. Além disso, se os 
dados não forem mais necessários ou pertinentes para alcançar a finalidade específica 
desejada, o tratamento deve ser encerrado.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
93 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
• Fim do Período de Tratamento: quando o período de tratamento determinado para 
os dados terminar, o tratamento deve ser encerrado. Isso pode ocorrer, por exemplo, 
quando expira o contrato entre o titular dos dados e o controlador.
• Comunicação do Titular: o tratamento de dados pessoais pode ser encerrado quando 
o titular dos dados comunica explicitamente sua vontade nesse sentido.
• Exclusivo do Controlador: os dados pessoais podem ser conservados para uso exclusivo 
do controlador, desde que esses dados sejam anonimizados e não estejam acessíveis 
a terceiros.
Essas disposições visam garantir que o tratamento de dados pessoais seja realizado 
apenas pelo tempo necessário e de acordo com as finalidades específicas estabelecidas, 
assegurando a proteção da privacidade e dos direitos dos titulares dos dados.
TraTamenTo De DaDoS PeSSoaiS PeLo PoDer PÚBLico
O tratamento de dados pessoais pelo poder público é regulado pela Lei Geral de Proteção 
de Dados (LGPD) e possui regras específicas. O artigo 23 da LGPD estabelece algumas 
diretrizes e obrigações para garantir a proteção dos dados no setor público.
Entre as principais disposições do artigo 23, destacam-se:
• Informação e Transparência: os órgãos públicos devem informar quando e como estão 
tratando dados pessoais, disponibilizando informações claras sobre a finalidade, 
procedimentos e práticas utilizadas.
• Nomeação de Encarregado: os órgãos públicos devem nomear um encarregado, 
também conhecido como Data Protection Officer (DPO), responsável por garantir a 
conformidade com a LGPD no tratamento de dados.
• Formas de Publicidade das Operações de Tratamento: os órgãos públicos devem 
adotar medidas para divulgar as operações de tratamento de dados, proporcionando 
transparência e conhecimento aos titulares dos dados.
• Padronização e Boas Práticas: a autoridade nacional pode sugerir a adoção de padrões 
e boas práticas para o tratamento de dados pessoais pelo poder público, visando 
aprimorar a proteção e segurança dos dados.
Essas medidas têm como objetivo garantir que o tratamento de dados pessoais realizado 
pelo poder público esteja em conformidade com a LGPD e respeite os direitos dos titulares 
dos dados.
reSPonSaBiLiDaDe
A responsabilidade é um tópico importante na Lei Geral de Proteção de Dados (LGPD). 
De acordo com a LGPD, tanto os controladores quanto os operadores de dados pessoais 
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquertítulo,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
94 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
são responsáveis pelo tratamento adequado desses dados. O controlador é a pessoa ou 
empresa que determina as finalidades e os meios de processamento dos dados, enquanto 
o operador realiza o tratamento em nome do controlador.
Em relação à responsabilidade, a LGPD estabelece que o operador responde solidariamente 
pelos danos causados pelo tratamento quando não cumpre as obrigações da legislação ou 
não segue as instruções lícitas do controlador. Além disso, o controlador também pode ser 
responsabilizado pelos danos causados pelo tratamento de dados.
A LGPD também prevê a possibilidade de inversão do ônus da prova em favor do titular 
dos dados, ou seja, o titular não precisa provar a violação, mas sim o responsável pelo 
tratamento dos dados.
As normas da LGPD também estabelecem condições em que os agentes de tratamento 
não serão responsabilizados, como quando não realizaram o tratamento atribuído, não 
houve violação da legislação de proteção de dados ou o dano foi causado exclusivamente 
pelo titular dos dados ou por terceiros.
Em resumo, a responsabilidade na LGPD implica que os controladores e operadores 
devem agir de acordo com as obrigações legais, garantir a segurança dos dados pessoais e 
responder pelos danos causados em caso de violação da legislação.
PaDrÕeS e BoaS PrÁTicaS
O tópico de Padrões e Boas Práticas na Lei Geral de Proteção de Dados (LGPD) aborda 
a necessidade de estabelecer regras e diretrizes para o tratamento de dados pessoais. 
De acordo com a LGPD, os controladores e operadores podem formular regras de boas 
práticas e governança, que incluem ações educativas e mecanismos internos de supervisão 
e mitigação de riscos.
Essas regras devem considerar a natureza dos dados, os riscos e benefícios do tratamento 
de dados pessoais para os titulares. Além disso, os controladores e operadores podem 
implementar um programa de governança em privacidade, estabelecendo políticas e práticas 
internas para garantir o cumprimento das normas de proteção de dados.
A autoridade nacional de proteção de dados pode reconhecer e divulgar essas regras 
de boas práticas, que devem ser atualizadas regularmente. Além disso, a LGPD incentiva a 
adoção de padrões técnicos que facilitem o controle dos titulares sobre seus dados pessoais.
Em resumo, o tópico de Padrões e Boas Práticas na LGPD enfatiza a importância de 
estabelecer diretrizes e seguir boas práticas para garantir a proteção adequada dos dados 
pessoais e promover a confiança na forma como as organizações tratam essas informações.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
95 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
TranSferÊncia inTernacionaL De DaDoS
A transferência internacional de dados é regulada pela Lei Geral de Proteção de Dados 
(LGPD) no Brasil. De acordo com a LGPD, a transferência de dados pessoais para países 
estrangeiros ou organizações internacionais só é permitida em determinadas situações, 
as quais incluem:
• Grau adequado de proteção: a transferência só pode ser feita para países ou 
organizações internacionais que ofereçam um grau adequado de proteção de dados 
pessoais, de acordo com o previsto na LGPD.
• Garantias de cumprimento: o controlador dos dados deve oferecer e comprovar 
garantias de cumprimento dos princípios e direitos dos titulares previstos na LGPD.
• Necessidade legal ou de proteção: a transferência pode ocorrer quando for necessária 
para cooperar em investigações internacionais, proteger a vida ou integridade física 
do titular dos dados, prevenir fraudes e irregularidades, entre outros casos previstos 
na legislação.
• Autorização da Autoridade Nacional: a autoridade nacional pode autorizar a 
transferência quando necessário e apropriado.
• Consentimento do titular: a transferência também pode ocorrer mediante o 
consentimento específico do titular dos dados, desde que ele seja informado sobre 
a natureza internacional da operação.
Além disso, a LGPD estabelece critérios de avaliação do nível de proteção de dados nos 
países de destino, levando em consideração a legislação vigente, a natureza dos dados, as 
medidas de segurança e as garantias judiciais e institucionais.
A LGPD busca garantir a proteção dos dados pessoais dos cidadãos brasileiros mesmo 
quando transferidos para o exterior, promovendo a privacidade e a segurança dos dados.
reSPonSaBiLiDaDe e reSSarcimenTo De DanoS
A responsabilidade e o ressarcimento de danos são aspectos importantes abordados 
pela Lei Geral de Proteção de Dados Pessoais (LGPD). A LGPD estabelece que os agentes 
de tratamento de dados, como controladores e operadores, são responsáveis por garantir 
a segurança e a privacidade dos dados pessoais.
Em caso de violação da LGPD, os agentes de tratamento podem ser responsabilizados 
pelos danos causados aos titulares dos dados. A responsabilidade pode ser solidária, ou 
seja, todos os agentes envolvidos no tratamento dos dados podem ser responsabilizados 
conjuntamente.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
96 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
A LGPD também prevê o direito de regresso, que permite que aquele que reparar o dano 
ao titular dos dados possa buscar o ressarcimento dos demais responsáveis, de acordo com 
a sua participação no evento danoso.
Além disso, a LGPD estabelece condições em que os agentes de tratamento não são 
responsabilizados, como quando não realizaram o tratamento atribuído a eles, quando 
não houve violação da legislação de proteção de dados ou quando o dano foi causado 
exclusivamente pelo titular dos dados ou por terceiros.
É importante ressaltar que a LGPD busca garantir a efetiva indenização ao titular dos 
dados em caso de violação, estabelecendo medidas rigorosas para assegurar a conformidade 
com as normas de proteção de dados pessoais.
SeGUrança e BoaS PrÁTicaS
A segurança e as boas práticas são aspectos fundamentais na Lei Geral de Proteção 
de Dados (LGPD) para garantir a proteção adequada das informações pessoais. A LGPD 
estabelece medidas de segurança técnicas e administrativas que devem ser adotadas 
pelos agentes de tratamento de dados pessoais. Essas medidas visam evitar acessos não 
autorizados, destruição, perda, alteração ou qualquer forma de tratamento inadequado 
ou ilícito dos dados.
Além disso, a LGPD incentiva a adoção de boas práticas e governança no tratamento 
de dados pessoais. Isso envolve a formulação de regras internas, procedimentos e ações 
educativas para garantir o cumprimento das normas de proteção de dados. Também é 
encorajada a implementação de programas de governança em privacidade, que estabelecem 
políticas internas e práticas para garantir a conformidade com a LGPD.
A LGPD também prevê a comunicação de incidentes de segurança às autoridades 
competentes e aos titulares dos dados. Os controladores devem comunicar qualquer incidente 
de segurança que possa resultar em risco ou dano relevante aos titulares, fornecendo 
informações detalhadas sobre o incidente.
Em resumo, a segurançae as boas práticas são essenciais para garantir a proteção dos 
dados pessoais e o cumprimento da LGPD. As medidas de segurança devem ser adotadas desde 
a concepção do produto ou serviço, considerando a natureza dos dados e os riscos envolvidos. 
A comunicação de incidentes de segurança e a adoção de boas práticas e governança são 
importantes para promover a transparência e a confiança dos titulares de dados.
BoaS PrÁTicaS e a GoVernança
As boas práticas e a governança são aspectos fundamentais da Lei Geral de Proteção de 
Dados (LGPD). O artigo 50 da LGPD permite que os controladores e operadores estabeleçam 
regras de boas práticas e governança relacionadas ao tratamento de dados pessoais. Essas 
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
97 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
regras abrangem procedimentos, ações educativas e mecanismos internos de supervisão 
e mitigação de riscos.
Ao formular essas regras, os agentes de tratamento devem considerar a natureza 
dos dados, os riscos e benefícios do tratamento para os titulares. Além disso, é possível 
implementar um programa de governança em privacidade, que consiste em estabelecer 
políticas e práticas internas para garantir o cumprimento das normas de proteção de dados.
A LGPD incentiva a adoção de padrões técnicos que facilitem o controle dos titulares 
sobre seus dados pessoais. A autoridade nacional é responsável por promover a adoção 
desses padrões, que podem aumentar o controle e a transparência sobre o tratamento 
dos dados pessoais.
Em resumo, as boas práticas e a governança são essenciais para garantir o cumprimento 
da LGPD, promover a proteção dos direitos dos titulares de dados e estabelecer um ambiente 
de confiança na gestão e tratamento de dados pessoais.
fiScaLiZação
A fiscalização da Lei Geral de Proteção de Dados (LGPD) é realizada pela Autoridade 
Nacional de Proteção de Dados (ANPD), que é responsável por regulamentar e fiscalizar 
a proteção de dados pessoais no Brasil. A ANPD possui poderes para aplicar sanções 
administrativas em caso de infrações à LGPD.
As sanções administrativas previstas pela LGPD incluem advertência, multa simples, 
multa diária, bloqueio dos dados pessoais, suspensão parcial ou total do funcionamento do 
banco de dados, suspensão do exercício da atividade de tratamento dos dados e proibição 
parcial ou total das atividades relacionadas ao tratamento de dados.
É importante destacar que as multas podem chegar a até 2% do faturamento da pessoa 
jurídica, grupo ou conglomerado no Brasil no último exercício, limitadas a R$ 50.000.000,00 
(cinquenta milhões de reais) por infração.
Além da ANPD, a LGPD também prevê a criação do Conselho Nacional de Proteção de 
Dados Pessoais e da Privacidade (CNDP), que terá a função de auxiliar a ANPD no cumprimento 
de suas atribuições.
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD) E O CONSELHO NACIONAL 
De ProTeção De DaDoS PeSSoaiS e Da PriVaciDaDe
A Autoridade Nacional de Proteção de Dados (ANPD) e o Conselho Nacional de Proteção 
de Dados Pessoais e da Privacidade são instituições criadas pela Lei Geral de Proteção de 
Dados (LGPD) para regulamentar e fiscalizar a proteção de dados pessoais no Brasil.
A ANPD é uma autarquia de natureza especial, com autonomia técnica e decisória. Ela 
tem sede no Distrito Federal e possui patrimônio próprio. A ANPD é responsável por zelar, 
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
98 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
implementar e fiscalizar o cumprimento da LGPD em todo o território nacional. Ela atua como 
a guardiã da proteção de dados pessoais, assegurando que a lei seja cumprida e respeitada.
Já o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade é um órgão 
consultivo que auxilia na definição de políticas relacionadas à proteção de dados. Ele é 
composto por representantes de diversos órgãos e setores da sociedade, que contribuem 
para a formulação e execução das políticas de privacidade e proteção de dados. O Conselho 
tem competências como propor diretrizes estratégicas, elaborar relatórios de avaliação, 
sugerir ações à ANPD e promover debates e audiências públicas sobre proteção de dados.
Em resumo, a ANPD é responsável pela aplicação e fiscalização da LGPD, enquanto o 
Conselho Nacional de Proteção de Dados Pessoais e da Privacidade contribui para a definição 
das políticas e diretrizes nessa área. Ambos desempenham papéis importantes na proteção 
dos dados pessoais e na garantia da privacidade dos cidadãos brasileiros.
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
99 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
MAPAS MENTAISMAPAS MENTAIS
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
100 de 101gran.com.br
TecnoLoGia Da informação
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
Jósis Alves
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
Abra
caminhos
crie
futuros
gran.com.br
O conteúdo deste livro eletrônico é licenciado para SOCORRO FROTA CANDEIA - 38329387372, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
	Sumário
	Apresentação
	Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – LGPD
	Entendendo a LGPD
	Histórico da Proteção de Dados e Contexto Global
	Desenvolvimento da LGPD no Brasil
	Fundamentos da LGPD
	Aplicabilidade
	Definições e Conceitos Básicos: Lei Geral de Proteção de Dados (LGPD)
	Princípios da LGPD
	Tratamento de Dados Pessoais
	Do Tratamento de Dados Pessoais Sensíveis
	Do Tratamento de Dados Pessoais de Crianças e de Adolescentes
	Do Término do Tratamento de Dados
	Dos Direitos do Titular
	Do Tratamento de Dados Pessoais pelo Poder Público
	Da Responsabilidade
	Padrões e Boas Práticas
	Da Transferência Internacional de Dados
	Dos Agentes de Tratamento de Dados Pessoais
	Do Encarregado pelo Tratamento de Dados Pessoais
	Da Responsabilidade e do Ressarcimento de Danos
	Da Segurança e das Boas Práticas
	Das Boas Práticas e da Governança
	Da Fiscalização
	Da Autoridade Nacional de Proteção De Dados (ANPD) e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade
	Do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade
	Resumo
	Mapas Mentais